Stocker les sessions dans votre base de données. Sécurisation des failles CSRF. Cross-Site Request Forgery. Un article de Wikipédia, l'encyclopédie libre.
Les attaques de type Cross-Site Request Forgery (abrégées CSRF prononcées sea-surfing ou parfois XSRF) utilisent l'utilisateur comme déclencheur, celui-ci devient complice sans en être conscient. L'attaque étant actionnée par l'utilisateur, un grand nombre de systèmes d'authentification sont contournés. Illustration[modifier | modifier le code] Alice arrive à connaitre le lien qui permet de supprimer le message en question.Alice envoie un message à Bob contenant une pseudo-image à afficher (qui est en fait un script). L'URL de l'image est le lien vers le script permettant de supprimer le message désiré.Bob lit le message d'Alice, son navigateur tente de récupérer le contenu de l'image. Caractéristiques[modifier | modifier le code] Les caractéristiques du CSRF sont un type d'attaque qui : Prévention[modifier | modifier le code] Voir aussi[modifier | modifier le code]
Top 10 2013-Top 10. SQL Inject Me. Security - What should a developer know before building a public web site. Comprendre l'ordinateur - C'est quoi SSL, SSH, HTTPS ? Ça sert à quoi SSL ?
SSL = Secure Socket Layer C'est un système qui permet d'échanger des informations entre 2 ordinateurs de façon sûre. SSL assure 3 choses: Confidentialité: Il est impossible d'espionner les informations échangées.Intégrité: Il est impossible de truquer les informations échangées.Authentification: Il permet de s'assurer de l'identité du programme, de la personne ou de l'entreprise avec lequelle on communique. SSL est un complément à TCP/IP et permet (potentiellement) de sécuriser n'importe quel protocole ou programme utilisant TCP/IP. SSL a été créé et développé par la société Netscape et RSA Security. Pourquoi utiliser SSL plutôt qu'un autre système ? Il faut se méfier des systèmes propriétaires: contrairement à ce qu'on pourrait penser, la sécurité d'un système de chiffrement ne réside pas dans le secret de l'algorithme de chiffrement, mais dans le secret de la clé.
Comment ça marche SSL ? SSL consiste en 2 protocoles: La négociation SSL ("handshake") What is HTTPS? HTTPS Tutorials, Working of Hyper Text Transfer Protocol, Instant ssl Tutorial. Https - What is a Https Tutorial, How Https SSL Works. Secure Sockets Layer uses a cryptographic system that encrypts data with two keys.
When a SSL Digital Certificate is installed on a web site, users can see a padlock icon at the bottom area of the navigator. When an Extended Validation Certificates is installed on a web site, users with the latest versions of Firefox, Internet Explorer or Opera will see the green address bar at the URL area of the navigator. Users on sites with SSL Certificates will also see in the address bar during an ecommerce transaction. With booming Internet trends and fraud, most will not submit their private details on the web unless they know that the information they provide is securely transmitted and not accessible for anyone to view. Want to know more? OpenSSL. I was having a heck of a time finding help on making asynchronous encryption/decryption using private key/public key systems working, and I had to have it for creating a credit card module that uses recurring billing.
You'd be a fool to use normal, 'synchronous' or two-way encryption for this, so the whole mcrypt library won't help. But, it turns out OpenSSL is extremely easy to use...yet it is so sparsely documented that it seems it would be incredibly hard. So I share my day of hacking with you - I hope you find it helpful! <? Php $res=openssl_pkey_new(); openssl_pkey_export($res, $privatekey); $publickey=openssl_pkey_get_details($res);$publickey=$publickey["key"]; echo "Private Key:<BR>$privatekey<br><br>Public Key:<BR>$publickey<BR><BR>"; $cleartext = '1234 5678 9012 3456'; echo "Clear text:<br>$cleartext<BR><BR>"; openssl_public_encrypt($cleartext, $crypttext, $publickey);
OpenPGP. Un article de Wikipédia, l'encyclopédie libre.
OpenPGP est un format de cryptographie de l'Internet Engineering Task Force (IETF), normalisé dans la RFC 4880[1]. Ce standard décrit le format des messages, signatures ou certificats que peuvent s'envoyer des logiciels comme GNU Privacy Guard. Ce n'est donc pas un logiciel, mais un format pour l'échange sécurisé de données, qui doit son nom au programme historique Pretty Good Privacy (PGP).
Utilisations[modifier | modifier le code] Ce standard servait initialement au chiffrement et à l'authentification de courrier électronique, notamment décrits dans la RFC 3156[2]. Son utilisation a depuis été étendue à OpenSSH et au web sécurisé (TLS), grâce à des projets comme monkeysphere. Il est aussi utilisé par des monnaies numériques à dividende universel[3].