PUBLIC MARKS with tags securite & web

At the Toorcon 12 security conference, Eric Butler released a Firefox plugin named Firesheep, which drew significant media attention. Firesheep allowed any user to seamlessly hijack the web session of another user on the same local network. Although such attacks are not new, the ease of use presented by Firesheep brought session hijacking to the masses. BlackSheep, also a Firefox plugin is designed to combat Firesheep. BlackSheep does this by dropping ‘fake’ session ID information on the wire and then monitors traffic to see if it has been hijacked. While Firesheep is largely passive, once it identifies session information for a targeted domain, it then makes a subsequent request to that same domain, using the hijacked session information in order to obtain the name of the hijacked user along with an image of the person, if available. It is this request that BlackSheep identifies in order to detect the presence of Firesheep on the network.

HTTPS Everywhere is a Firefox extension produced as a collaboration between The Tor Project and the Electronic Frontier Foundation. It encrypts your communications with a number of major websites. Many sites on the web offer some limited support for encryption over HTTPS, but make it difficult to use. For instance, they may default to unencrypted HTTP, or fill encrypted pages with links that go back to the unencrypted site. The HTTPS Everywhere extension fixes these problems by rewriting all requests to these sites to HTTPS.

"En utilisant un programme propriétaire ou le serveur Web de quelqu'un d'autre, on est sans défense. On devient le jouet de celui qui a développé ce logiciel"

Scalp! : analyseur de logs Apache. IDS

W3C Working Draft

GreenSQL est conçu pour être utilisé comme un proxy MySQL. Au lieu de se connecter directement à la base MySQL, votre serveur Web se branche sur GreenSQL. GreenSQL transmet à MySQL les requêtes SQL valides et sécuritaires, et retourne les résultats. Si GreenSQL détecte du code SQL qui ne fait pas partie de sa liste blanche, ou du code qui semble dangereux, il bloquera la requête."

"Sacrifier sa liberté pour le confort, le divertissement ou la sécurité."

« ... a software bundle that can be easily installed on a portable memory (pendrive, usb stick, hard drive) to allow anonymous surfing while at an internet cafe, library etc. ... »

« How good are the passwords people are choosing to protect their computers and online accounts? »

« Le Cross site scripting, abrégé XSS, est un type de faille de sécurité des sites Web, que l'on trouve typiquement dans les applications Web qui peuvent être utilisées par un attaquant pour faire afficher des pages web contenant du code douteux. Il est abrégé XSS pour ne pas être confondu avec le CSS (feuilles de style), X étant une abréviation commune pour "cross" (croix) en anglais. »

Dominique Van-Den-Abbeel nous dépeint un tableau du Web 2.0 et des Mashups pour le moins obscure. En sourcant Le Monde et le consortium OpenAjax, il met en avant la relative insécurité des développements Ajax.

« In short, I’m hoping that users will be smart about what they geotag. »

Toute l'actu sur la sécurité informatique

"What kind of idiot buys a computer and willingly - even eagerly - exposes it to all the malware and viruses he can ?"

"A person who is invested in a community through a membership system is one less likely to abuse the community."