20201230-20-34-51.44_20200901-04-38-08.47_fakenews.jpg

Chaque semaine, une autre histoire est racontée sur comment linux n'est pas sécurisé. Le seul probléme avec la plus part, ce sont des fausses actualités. Le vrai probléme réside dans l'incompétence des administrateurs systéme. Bref il y en a mare des fake news.

 

20201230-19-48-29.06_splash.png

Lors du développement d'une fonctionnalité d'upload, l'équipe de développement est trop focalisé sur l'objectif car elle a durant cette étape trop souvent la tête dans le guidon et ne prends pas le recul nécessaire de l'impact d'une telle fonctionnalité. Et ce aussi bien au niveau des performances que de la sécurité, car il faut faire cela vite car ce besoin arrive en urgence car il a souvent été oublié dans le processus de spécifications et les impacts de cette fonctionnalité sur la sécurité de la si est complétement mis de côté, du moins trop souvent...

Or mettre en place les éléments après l'incendie est souvent trop tard, car le mal aura dèjà pris racine. Ouvrir un flux d'upload, c'est équivalent a potentiellement laissé la porte ouverte de sa maison. Et oui, avec un fichier compromis on peut rentrer dans la SI de la plateforme, et une fois la porte ouverte c'est compliqué de la refermer. C'est le même principe que les squats en France... la porte reste trop longtemps ouverte et il n'est plus possible de déloger les personnes, dans notre contexte, je parle bien sur des hackers.

Mais le design de cette fonctionnalité d'upload peut aussi faire en sorte d'économiser des ressources. En utilisant des techniques comme le buffering, cela va vous éviter de multiplier des serveurs pour rien.

Bref, si ce sont des sujets qui attire votre attention alors je vous invite à lire le billet qui vous expliquera tout cela en détail.

 

20201230-19-48-29.06_splash.png

La validation utilisateur est vitale, et ce d'autant plus que dans le scénario d'upload de fichier

20201230-20-13-07.41_Firefox-logo.svg_-960x917.png

Parfois, le navigateur vous joue des tours et il ne tient pas compte de vos désir sur le comportement lors du téléchargement d'un fichier. C'est plus particuliérement vrai avec Firefox. Je ne sais pas si c'est les derniéres versions qui ont se comportement, en tout cas sur les versions de  62.x à 68.x, j'ai identifié cette problématique.

Lorsque j'ai eu à utiliser selenium pour piloter firefox dans le cadre de tests d'acceptance, je me suis retrouvé à ne pas réussir à piloter le téléchargement de fichier au sein de Firefox. Ayant eu beaucoup de difficultés à trouver une solution fonctionnelle, j'ai donc décidé d'écrire un bilet afin de partager ma solution (et surtout pour moi en fait, afin que je puisse la retrouver si à l'avenir j'en ai besoin).

Le probléme principale réside finalement dans le fait que Firefox ne permet pas de modifier facilement par type de fichiers, la maniére dont on veut qu'il gére le téléchargement, à savoir s'il demande ou effectuer le téléchargement, le téléchargement direct, ou encore l'ouvrir. C'est pourtant quelque chose de simple. Mais avec Firefox ce fut quelque chose de trés compliqué.

Dans la lecture du billet, je vous dévoile tout.

20201230-19-48-29.06_splash.png

Pouvoir recevoir des fichiers des utilisateurs sur sa plateforme représente un gros risques pour les applications mais également pour le système d'information dans sa globalité. C'est la premiére étape pour la pluspart des attaque sur un système. Car le but d'une telle recherche est finalement de trouver un moyen pour executer son propre code. Et utiliser un fichier que l'on peut uploader directement sur l'infrastructure cibler et donc naturellement l'une des première tentative.

Les conséquences avec un mécanisme d'upload qui ne contient aucune restriction sont trés variable, cela passe de la prise en main complète de la SI, à pouvoir surcharger le système ou écraser les données. Cela dépend de ce que fait l'application et de l'endroit de stockage.

Affaire à suivre ;)

20201230-19-33-15.58_20200827-09-17-49.28_dos.jpg

Un déni de service, ou refus de service se produit lorsqu'un accès à un service particulier doit-être produit mais qu'en réalité cela a été rejeté incorrectement. Par exemple, le systéme s'est arrété de fonctionner brutalement. De tels problèmes  se produisent souvent avec des drivers contenant des bugs, mais parfois c'est le design de certaines parties logicielles ou sections des machines qui permettent de créer des "exploits" pour reprendre le terme des jeux vidéos. C'est en fait une faille qui va permettre d'être exploiter à d'autres fins, notamment en permettant de manipuler la machine à d'autres fins ou seulement forcer la machine à dysfonctionner pour la rendre inopérante.

20201230-19-23-42.20_1200px-Gulp.js_Logo.svg.png

Pour savoir comment séparer les tâches du gulpfile.js dans plusieurs fichiers vous êtes au bon endroit.

20201230-19-21-25.43_logging-1.png

Besoin d'une application d'analyse de logs ou de traces ? Vous allez bientôt avoir cela a disposition sur le Store de Microsoft. Vous aurez tous les détails dans le billet du blog.