Les milliers de sites défacés depuis lundi semblent indiquer que ce qui tombe sous le sens… n’est pas évident pour tout le monde. R3 en particulier. (Qui a mis à jour son Drupal ?) Ou R10… X-Powered-By on le voit trop souvent, avec la version exacte de PHP.
R19… Le terme d’entropie est sans doute mal employé. 128bits comme *taille* du cookie de session ça semble cohérent. R20 est formulé bizarrement. L’idée générale c’est probablement que les credentials et le cookie de session passent sur un canal chiffré, et non pas en clair. Cordialement, Stéphane > Le 15 janv. 2015 à 14:11, Florent Daigniere > <florent.daigni...@trustmatta.com> a écrit : > > On Thu, 2015-01-15 at 13:38 +0100, Swali 13 wrote: >> Bonjour, >> >> L'ANSSI vous parle >> >> http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/recommandations-et-guides/securite-des-applications-web/recommandations-pour-la-securisation-des-sites-web.html >> --------------------------- > > La question c'est de savoir si ça vaut la peine de les écouter :) > Certaines des recommandations tombent sous le sens.. d'autre sont > complètement farfelues > > Exemples : > > R19 > Les identifiants de session doivent être aléatoires et d’une entropie > d’au moins 128 bits. > > -> 128bits pour une attaque en ligne... c'est beaucoup et complètement > arbitraire > > R20 > Il faut recourir à chaque fois que c’est possible au protocole HTTPS dès > lors que l’on associe une session à des privilèges particuliers. > > -> ce n'est pas réducteur du tout comme approche. C'est bien connu, > l'authentification ça ne sert que dans un sens ;) > > R24 > Pour les actions sensibles, mettre en place des mécanismes permettant de > s’assurer de la légitimité de la requête. > > -> on parle de click-jacking, ... mais pas d'anti-CSRF > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
