PUBLIC MARKS from parmentierf with tag sécurité

# Learn how hackers find security vulnerabilities! # Learn how hackers exploit web applications! # Learn how to stop them!

Un bon article de synthèse sur la sécurité des sites web.

HTML Purifier is a standards-compliant HTML filter library written in PHP.

PhpSecInfo provides an equivalent to the phpinfo() function that reports security information about the PHP environment, and offers suggestions for improvement. It is not a replacement for secure development techniques, and does not do any kind of code or app auditing, but can be a useful tool in a multilayered security approach.

Brandon Sterne, qui travaille sur la sécurité de Firefox, vient d'annoncer que des versions de développement de Firefox intégrant la spécification Content Security Policy sont disponibles depuis quelques jours. Cette spécification est une proposition de Mozilla pour renforcer la sécurité des navigateurs contre les attaques de type XSS.

The Open Web Application Security Project (OWASP) is a worldwide free and open community focused on improving the security of application software.

25 Most Dangerous Programming Errors - And How to Fix Them

A semi-automated, largely passive web application security audit tool, optimized for an accurate and sensitive detection, and automatic annotation, of potential problems and security-relevant design patterns based on the observation of existing, user-initiated traffic in complex web 2.0 environments.

Scrawlr, developed by the HP Web Security Research Group in coordination with the MSRC, is short for SQL Injector and Crawler. Scrawlr will crawl a website while simultaneously analyzing the parameters of each individual web page for SQL Injection vulnerabilities.

Protéger un développement PHP contre les attaques passe notamment par l'application de certaines règles de configuration. La mise en œuvre d'une stratégie de programmation défensive est un plus.

This application is designed to assess the strength of password strings. The instantaneous visual feedback provides the user a means to improve the strength of their passwords, with a hard focus on breaking the typical bad habits of faulty password formulation. Since no official weighting system exists, we created our own formulas to assess the overall strength of a given password. Please note, that this application does not utilize the typical "days-to-crack" approach for strength determination. We have found that particular system to be severely lacking and unreliable for real-world scenarios. This application is neither perfect nor foolproof, and should only be utilized as a loose guide in determining methods for improving the password creation process.

Given an email address, IdentiFight searches as many sites as possible and finds accounts that are linked to that email address. It then presents a bit of information about each account, plus details for how to change the privacy settings for each site. There are also links to each site's privacy statement.

Utilisé à mauvais escient, l'outil GoolagScan est particulièrement dangeureux... Mais utilisé par les administrateurs de sites Web, il peut devenir leur meilleur allié.

Des Certificats SSL gratuits!

You remember one master password. (It is not stored anywhere, don't forget it!) Then, with a (somewhat simple) cryptographic hash function, the extension combines your master password and the domain name of the site to make another unique password for that site. The password is not saved in Firefox, or anywhere else. It's secure!

Suite aux commentaires de Bader relatifs aux problèmes de phishing, je me suis renseigné et je pense qu'il est nécessaire de mettre en garde les lecteurs un peu trop emballés par le premier billet. Il existe clairement un risque que je n'avais pas identifié plus tôt, faute d'exemples concrêts. Allons-y pour une mise en situation...

Le chapitre du Django Book sur la sécurité est sorti aujourd'hui et je pense que tous les développeurs web un peu consciencieux devraient aller le lire, c'est une bonne base.

From the developers of the Python-OpenID library and MyOpenID.com (where you can get an OpenID for free -- you can also choose from a number of other OpenID providers) this is a website by OpenID developers, for OpenID developers.

Cela fait un moment que je suis ça de loin et la sauce est en train de prendre, Tarek en parlait d'ailleurs récemment. OpenId permet de s'identifier via une simple URL sans pour autant être tributaire d'un service puisque vous pouvez avoir votre propre serveur gérant cette identité. Actuellement il y en a 4 « officiellement reconnus » mais rien ne vous empêche de créer le votre et mon petit doigt me dit qu'il ne va pas tarder à y en avoir à foison.

A MyOpenID account lets you use any OpenID enabled website. That means no more boring registration, with only one password to remember.

Les modifications apportées à un document peuvent parfois être distinctement lues par n'importe quel détenteur du traitement de texte de Microsoft. Une faille plus souvent exploitée qu'on ne le croît.

Google Safe Browsing is an extension to Firefox that alerts you if a web page that you visit appears to be asking for your personal or financial information under false pretences. This type of attack, known as phishing or spoofing, is becoming more sophisticated, widespread and dangerous. That's why it's important to browse safely with Google Safe Browsing. By combining advanced algorithms with reports about misleading pages from a number of sources, Safe Browsing is often able to automatically warn you when you encounter a page that's trying to trick you into disclosing personal information.