Retour d'expérience sécurité sur 11 ans de LinuxFr.org

Posté par (page perso) . Modéré par baud123.
Tags :
17
10
juil.
2009
LinuxFr.org
Bruno Michel et Benoît Sibaud ont donné une conférence lors des Rencontres Mondiales du Logiciel Libre 2009, intitulée « LinuxFr.org : retour d’expérience sécurité d’un site Web à fort trafic ».

Il s'agissait d’une part de faire un retour sur une expérience riche et variée sur le sujet (divulgation involontaire d'informations confidentielles, failles XSS, failles CSRF, erreurs de générateur aléatoire, ingénierie sociale sur les utilisateurs, audit de sécurité non demandé effectué sur notre serveur, etc. sans compter les bugs exotiques genre horloge cyclant sur une période de 4s…) sur un site à fort trafic et stockant des données personnelles.

D’autre part les webmestres LinuxFr.org sont prêts à parler des problèmes de sécurité rencontrés et des solutions apportées, parce qu’il s’agit d’un site fait par et pour les communautés du logiciel libre, qui peut jouer la transparence et n’a pas à cacher les problèmes sous le tapis comme d’autres sites commerciaux ou gouvernementaux.

L'angle retenu (retour d'expérience et typologie variée de problèmes pour illustrer) a trouvé son public, la conférence ayant été faite dans une salle comble.
  • # tribune

    Posté par (page perso) . Évalué à 3.

    sans compter les nombreuses explosions de slips de la tribune.

    qui permettait de faire des iframes, du javascript,...

    du rire en barre
    • [^] # Re: tribune

      Posté par . Évalué à 6.

      Finalement on a trouvé l'origine du bug de la tribune qui faisait que domi< ratait le preums et postait à 00:00:20 ?
      Me souviens plus de l'explication de pterjan.

      Il doit rester des trucs pas nets dans les coins, tout de même....
  • # Excellente présentation

    Posté par (page perso) . Évalué à 6.

    Bravo pour votre travail dabord, et travaillant moi même à la sécurisation de sites (plus modestes), félicitations pour votre présentation et niveau de détail :)

    • [^] # Re: Excellente présentation

      Posté par (page perso) . Évalué à 5.

      Tout à fait d'accord. En plus c'est intéressant de voir les différents problèmes auxquels il est très difficile de penser avant qu'une moule un malin ne trouve la faille (id de session, fermeture de session, virus de tribune,...).

      Une spéciale dédicace également aux moules sans qui une grosse partie de ce document n'auraient pu voir le jour. Certes des failles découvertes ça ne fait pas toujours plaisir aux webmasteurs mais que de moment de fou rire. Je ne sais pas s'il reste des captures de la tribune « défacée » à coup de CSS et de Javascript mais c'était assez énorme. J'avoue, j'avais participé /o\
      Cela dit, pas longtemps après j'ai contacté le webmasteur de http://kde-look.org car le site avait le même problème. On va dire que la tribune m'a initié à la sécurité web ;-)

      Et puis vu que le logiciel wmCoinCoin existe grâce et pour DLFP, on pourrait citer la fameuse version (« qui n'existe pas et n'a jamais existé ») par laquelle on pouvait exécuter du code shell sur l'ordi d'une moule /o\

      (On dirait que le site n'aime plus les guillemets droits ". Dans la prévisualisation il les code en entités HTML ")

      L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.