IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

HTTPCS : deux tiers des sites web sont vulnérables


Sujet :

Sécurité

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut HTTPCS : deux tiers des sites web sont vulnérables
    HTTPCS : deux tiers des sites web sont vulnérables
    la solution de sécurité des applications Web se lance dans la sensibilisation des internautes

    Selon une étude menée par HTTPCS, deux tiers des sites web sont vulnérables à des attaques, y compris le TOP 10.000 des sites web les plus visités au monde.

    HTTPCS, la solution de sécurité des applications web, se lance dans la sensibilisation des internautes aux risques liés à Internet et aux dangers potentiels des sites web vulnérables aux attaques informatiques.

    HTTPCS est une solution complète qui analyse toutes vos pages afin de trouver et détecter tous types de vulnérabilités comme : XSS (Cross site scripting), SQLI (SQL injection), TRV (Directory traversal), LFI (Local file inclusion), RFI (Remote file inclusion), PCI (PHP code injection), SCI (Shell code injection) et autres.

    Très simple d’utilisation, le scan d’un site Web se fait en trois étapes : la saisie de l’adresse du site que l’on veut scanner ; la programmation d’une date pour le scan et la génération d’un rapport avec les détails sur les vulnérabilités détectées et les contre-mesures à mettre en place.


    Aujourd'hui, HTTPCS se positionne donc comme la solution accessible aux PME/PMI qui veulent se mettre en conformité et prouver à leurs clients internautes que leurs données sont bien sécurisées et qu'ils sont sur un site réellement « sûr ». La solution, qui a fait plusieurs fois parler d'elle en communiquant des chiffres sur les sites web vulnérables, veut maintenant sécuriser toutes les applications web traitant des données personnelles.

    L'affaire PRISM, quant à elle, tombe au bon moment pour l’outil de sécurité des applications web, qui se voit confier la sécurité de plusieurs sites institutionnels.

    Pour rappel, HTTPCS appartient à la société française ziwit SAS présidée depuis 2011 par Mohammed Boumediane, véritable icône des web entrepreneurs, qui a certainement facilité l'entrée de cette solution chez les géants comme Google ou encore Twitter. HTTPCS certifie plusieurs CMS comme phplist qui affiche fièrement le sceau de certification sur chaque application, un sceau qui est une source de confiance pour beaucoup d'internautes.

    Tester HTTPCS
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Membre éprouvé Avatar de Shuty
    Homme Profil pro
    Ingénieur en développement
    Inscrit en
    Octobre 2012
    Messages
    630
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur en développement
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Octobre 2012
    Messages : 630
    Points : 1 174
    Points
    1 174
    Par défaut
    Pour moins cher, il existe Acuntix... Il est pas mal du tout, surtout la version 9.
    Agence web Dim'Solution, créateur de solutions numériques
    Sites internet, ecommerce, logiciels, applications mobiles, référencement (SEO), plugin Prestashop, Magento, WordPress, Joomla!...

    Cours de trading gratuit | Envoyer des sms gratuitement | Envoyer des fax gratuitement | Plateforme de Fax à l'international

  3. #3
    Nouveau membre du Club
    Profil pro
    Inscrit en
    Janvier 2008
    Messages
    41
    Détails du profil
    Informations personnelles :
    Localisation : France, Haute Vienne (Limousin)

    Informations forums :
    Inscription : Janvier 2008
    Messages : 41
    Points : 39
    Points
    39
    Par défaut Il est vraiment bien
    Je l'avais testé. Il est vraiment bien.

  4. #4
    Membre du Club
    Profil pro
    Inscrit en
    Août 2011
    Messages
    27
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Août 2011
    Messages : 27
    Points : 53
    Points
    53
    Par défaut
    Une bannière publicitaire plutôt qu'un article m'aurait fait gagner du temps!!!! Pas cool, Developpez

  5. #5
    Invité
    Invité(e)
    Par défaut
    Pourquoi devrait-on payer pour être sécurisé ?
    A la base c'est censé être sécurisé quand même ? et ba non !
    Quand on pense aux mecs qui ont inventé le modèle osi sans couche de sécurité on se demande si cela n'a pas été fait exprès .... En tous cas vive linux !
    Jamais je ne payerais pour ce genre de logiciel que l'on trouve gratuitement sur la black Track de linux.

    Bonus : Pour ceux qui se souci de la sécurité des sites web et qui ne souhaite pas payer des sommes hallucinante pour rien, et qui souhaite mettre du SSL, je vous conseil StartSSL, au moins il ne se foute pas de votre gueule en proposant des certificats à 1 000€ ...

    Mais bon les gens aiment payer, pourquoi s'en priver ... c'est tellement facile de pigeonner...
    Dernière modification par Invité ; 14/08/2013 à 18h25.

  6. #6
    Membre du Club
    Profil pro
    Inscrit en
    Août 2011
    Messages
    27
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Août 2011
    Messages : 27
    Points : 53
    Points
    53
    Par défaut
    Je l'avais testé. Il est vraiment bien.
    Deux SQL injection et plusieurs XSS
    Maintenant aucune faille sur mon site et j'ai le sceau HTTPCS
    Le renard c'est encore bien régalé ...

  7. #7
    Membre éclairé Avatar de messinese
    Homme Profil pro
    IT Security Consultant
    Inscrit en
    Septembre 2007
    Messages
    429
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : IT Security Consultant
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Septembre 2007
    Messages : 429
    Points : 876
    Points
    876
    Par défaut
    Citation Envoyé par Master-NiKo Voir le message
    Pourquoi devrait-on payer pour être sécurisé ?
    A la base c'est censé être sécurisé quand même ? et ba non !
    Quand on pense aux mecs qui ont inventé le modèle osi sans couche de sécurité on se demande si cela n'a pas été fait exprès .... En tous cas vive linux !
    Jamais je ne payerais pour ce genre de logiciel que l'on trouve gratuitement sur la black Track de linux.

    Bonus : Pour ceux qui se souci de la sécurité des sites web et qui ne souhaite pas payer des sommes hallucinante pour rien, et qui souhaite mettre du SSL, je vous conseil StartSSL, au moins il ne se foute pas de votre gueule en proposant des certificats à 1 000€ ...
    Amusant, tu parles de Back-track (et non black track) qui d'ailleurs pour info est a présent remplacé par Kali linux, et justement en dessous tu parle de sécurité via SSL ..?
    Tu oublie surement que cette meme distro propose des tools comme burp suite ou SSLstrip justement dédiés... a bypasser ces meme pseudo sécurités .

    D'autant que je vois pas en quoi un https te protegera des injections diverses et variées mais bon...

    Aprés c'est un outil d'audit il est surement efficace tout comme les solutions de chez Qualys, les outils open source genre Nikto , Nessus & co mais il ne remplacera JAMAIS les connaissances de vrais pentesteurs !

    Ceci dit ça permet d'éviter de laisser des trous énorme et a défaut d'etre infaillible, permet d'avoir un minimum idée de l'état sécuritaire d'un site web.

  8. #8
    Rédacteur
    Avatar de imikado
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Décembre 2006
    Messages
    5 239
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Finance

    Informations forums :
    Inscription : Décembre 2006
    Messages : 5 239
    Points : 19 100
    Points
    19 100
    Billets dans le blog
    17
    Par défaut
    C'est très bien de sensibiliser sur la sécurité de nos sites web publiques, pensez à utiliser des frameworks sécurisé et à respecter leur bonnes pratiques

    note: j'aime beaucoup l'idée du sceau "certifié HTTPCS"
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
    Mes cours/tutoriaux

  9. #9
    Rédacteur

    Avatar de arnolem
    Profil pro
    Inscrit en
    Février 2005
    Messages
    2 856
    Détails du profil
    Informations personnelles :
    Âge : 38
    Localisation : France, Seine Maritime (Haute Normandie)

    Informations professionnelles :
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Février 2005
    Messages : 2 856
    Points : 6 114
    Points
    6 114
    Par défaut
    Le titre n'a rien a voir avec l'Actu. C'est simplement une publicité pour un service

  10. #10
    Expert confirmé
    Avatar de Loceka
    Profil pro
    Inscrit en
    Mars 2004
    Messages
    2 276
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2004
    Messages : 2 276
    Points : 4 845
    Points
    4 845
    Par défaut
    Citation Envoyé par arnolem Voir le message
    Le titre n'a rien a voir avec l'Actu. C'est simplement une publicité pour un service
    Bah, c'est la "ligne rédactionnelle de développez", à côté de ça certains posts à but informatifs ne sont pas considérés comme des actualités, allez comprendre.

  11. #11
    Membre éclairé Avatar de messinese
    Homme Profil pro
    IT Security Consultant
    Inscrit en
    Septembre 2007
    Messages
    429
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : IT Security Consultant
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Septembre 2007
    Messages : 429
    Points : 876
    Points
    876
    Par défaut
    Citation Envoyé par arnolem Voir le message
    Le titre n'a rien a voir avec l'Actu. C'est simplement une publicité pour un service
    +1

    C'est clairement ça, d'autant qu'on ne sais pas ou sont stockés les rapports , qui y aura potentiellement accés, combien de temps ces derniers sont gardés ...

  12. #12
    Membre expérimenté
    Homme Profil pro
    Développeur Web
    Inscrit en
    Juillet 2009
    Messages
    420
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2009
    Messages : 420
    Points : 1 471
    Points
    1 471
    Par défaut
    Citation Envoyé par imikado Voir le message
    note: j'aime beaucoup l'idée du sceau "certifié HTTPCS"
    Wé, enfin... c'est juste un label Marketing comme il en existe des tas pour les steak...

  13. #13
    Invité
    Invité(e)
    Par défaut
    @messinese, oui back | track 5r3 , c'est bien son nom ...
    alala c'est fou ça, y'a toujours un relou qui est là pour ne rien dire ou sortir sa pseudo science. Exemple c'est pas black-track mais back-track (on s'en fous...) De plus tu dis "en quoi le ssl te protège des injections", ba en rien mais je n'ai pas dis cela non plus ... d'ailleurs je précise que c'est un bonus (Prend un dico et va voir la définition d'un bonus).

    Je supporte de moins en moins certains informaticiens qui prennent les gens de haut s'en savoir qui il sont réellement et sans lire correctement ce qui est marqué, enfin bon je vais pas refaire le monde ...

    C'est vrai que les articles de développez.com sont de moins en moins intéressant et de moins en moins complet (car écrit directement par les membres). Maintenant quand je lis un sujet sur developpez je suis obligé d'aller voir d'autre site pour avoir vraiment toutes les infos.
    Je donne un exemple quand même : article
    Dans cet article on apprend que linux a été victime d'une faille et pas beaucoup plus. En allant sur d'autres sites la faille était vraiment expliquée etc... Si on pourrait donner une note je metterais 2/10 pour cette article (parce que le gars a quand même pris le temps de faire un copiez coller et de remanier certains mot...)

    Conclusion, c'est bien de faire du référencement mais c'est mieux de garder ses membres...
    Dernière modification par Invité ; 14/08/2013 à 18h47.

  14. #14
    Membre éclairé Avatar de messinese
    Homme Profil pro
    IT Security Consultant
    Inscrit en
    Septembre 2007
    Messages
    429
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : IT Security Consultant
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Septembre 2007
    Messages : 429
    Points : 876
    Points
    876
    Par défaut
    Citation Envoyé par Master-NiKo Voir le message
    ...
    Quand on pense aux mecs qui ont inventé le modèle osi sans couche de sécurité on se demande si cela n'a pas été fait exprès ..
    ...
    Je supporte de moins en moins certains informaticiens qui prennent les gens de haut s'en savoir qui il sont réellement et sans lire correctement ce qui est marqué, enfin bon je vais pas refaire le monde ...
    C'est clair mais c'est dommage t'aurais pu refaire le modele osi du coup

    <troll>

  15. #15
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par messinese Voir le message
    C'est clair mais c'est dommage t'aurais pu refaire le modele osi du coup
    <troll>
    Lol ... j'aime bien. Cela m'est déjà passé par la tête mais j'ai d'autres projets plus fascinant.

  16. #16
    Rédacteur
    Avatar de imikado
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Décembre 2006
    Messages
    5 239
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Finance

    Informations forums :
    Inscription : Décembre 2006
    Messages : 5 239
    Points : 19 100
    Points
    19 100
    Billets dans le blog
    17
    Par défaut
    Citation Envoyé par tontonnux Voir le message
    Wé, enfin... c'est juste un label Marketing comme il en existe des tas pour les steak...
    C'est pas un label marketing indiquant qu'on a payé pour obtenir un badge, ça indique que le site a été audité à tel date par leur produit et est selon leur logiciel sécurisé

    1. ça montre que le site se soucis de la sécurité
    2. ça indique la fraîcheur de l'audit (des nouvelles failles web peuvent etre découverte tous les jours)

    J'aimerais bien afficher un tel badge pour mon framework histoire d'indiquer qu'un tiers confirme les mesures de sécurité prise en compte.

    Mais 900 euros... ça fait cher par an

    note: faudrait que je demande un devis à iTrust pour un audit de code, mais symfony l'a fait l'année dernière, ça leur avait couter 6000$ de mémoire (ils avait fait une campagne de don pour la financer)
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
    Mes cours/tutoriaux

  17. #17
    Membre expérimenté
    Homme Profil pro
    Développeur Web
    Inscrit en
    Juillet 2009
    Messages
    420
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2009
    Messages : 420
    Points : 1 471
    Points
    1 471
    Par défaut
    Citation Envoyé par imikado Voir le message
    C'est pas un label marketing indiquant qu'on a payé pour obtenir un badge, ça indique que le site a été audité à tel date par leur produit et est selon leur logiciel sécurisé

    1. ça montre que le site se soucis de la sécurité
    2. ça indique la fraîcheur de l'audit (des nouvelles failles web peuvent etre découverte tous les jours)

    J'aimerais bien afficher un tel badge pour mon framework histoire d'indiquer qu'un tiers confirme les mesures de sécurité prise en compte.

    Mais 900 euros... ça fait cher par an

    note: faudrait que je demande un devis à iTrust pour un audit de code, mais symfony l'a fait l'année dernière, ça leur avait couter 6000$ de mémoire (ils avait fait une campagne de don pour la financer)
    Dans l'absolue, je suis totalement d'accord avec le fait qu'il faut absolument faire appel à des prestataires externes pour auditer un minimum la sécurité de son travail (on le fait nous même dans ma boite). Ensuite, communiquer dessus ou pas dépend directement de ton activité.
    Pour promouvoir un framework, c'est très pertinent.
    Cela dit, un framework aura beau être le mieux sécurisé possible, ça ne peut garantir que les applications qui seront développées avec le seront également.

    Non, ce qui "m'embête" avec ce genre de label, c'est qu'il est édité par une société qui est seule juge (juge est partie à la fois donc) de la qualité de son travail.
    Utiliser leur outil ne garanti en rien qu'un site est sécurisé.

    Au final, l'afficher, c'est faire la promotion de ton prestataire. Ça peut se concevoir, mais à condition qu'il y ai une compensation financière à mon sens.

  18. #18
    Rédacteur
    Avatar de imikado
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Décembre 2006
    Messages
    5 239
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Finance

    Informations forums :
    Inscription : Décembre 2006
    Messages : 5 239
    Points : 19 100
    Points
    19 100
    Billets dans le blog
    17
    Par défaut
    Citation Envoyé par tontonnux Voir le message
    Dans l'absolue, je suis totalement d'accord avec le fait qu'il faut absolument faire appel à des prestataires externes pour auditer un minimum la sécurité de son travail (on le fait nous même dans ma boite). Ensuite, communiquer dessus ou pas dépend directement de ton activité.
    Pour promouvoir un framework, c'est très pertinent.
    Cela dit, un framework aura beau être le mieux sécurisé possible, ça ne peut garantir que les applications qui seront développées avec le seront également.

    Non, ce qui "m'embête" avec ce genre de label, c'est qu'il est édité par une société qui est seule juge (juge est partie à la fois donc) de la qualité de son travail.
    Utiliser leur outil ne garanti en rien qu'un site est sécurisé.

    Au final, l'afficher, c'est faire la promotion de ton prestataire. Ça peut se concevoir, mais à condition qu'il y ai une compensation financière à mon sens.
    C'est l'idée de pouvoir afficher qu'un tiers confirme les bonnes pratiques respectées, après pour la sécurisation des application créer avec mon framework, une page détaille les protections gérés par le framework et celle à la charge du développeur http://mkdevs.com/security.html

    En fait ça garanti, que selon eux, il est sécurisé, il faut pour cela que la société gagne en crédibilité et devienne comme verisign ou l' organisme OWASP des valeurs de références
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
    Mes cours/tutoriaux

  19. #19
    En attente de confirmation mail
    Homme Profil pro
    *
    Inscrit en
    Février 2013
    Messages
    86
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : *
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Février 2013
    Messages : 86
    Points : 40
    Points
    40
    Par défaut
    "...un sceau qui est une source de confiance pour beaucoup d'internautes." : On est en plein rêve
    Pas un rond à ces rigolos

  20. #20
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    Décembre 2011
    Messages
    9 012
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : Décembre 2011
    Messages : 9 012
    Points : 23 209
    Points
    23 209
    Par défaut
    Bonjour,

    Je suis allé regardé exactement ce qu'était leur "sceau".
    HTTPCS délivre aux sites qui l'utilisent un sceau.
    Sous forme de code html, ce sceau visible aux visiteurs renvoie vers une page HTTPCS qui affiche le certificat du site.
    Vos visiteurs sauront alors l'importance que vous donnez à leurs données et à leur sécurité, ils pourront ainsi effectuer des achats ou autres en toute sérénité.
    En résumé, vous payez au minimum 900€ pour avoir une jolie images à afficher sur votre site qui a un lien vers une page HTTPCS. Image que vous pourriez bien copier-coller à partir d'autres sites, et la faire renvoyer vers une de vos propre page ou vers une page du type "pishing".

    D'accord, je troll un peu, il y a des scans et des vérifications de vulnérabilité.
    Mais bon, quand on nous donne une image pour certifier que le site est un site de confiance... je doute un peu de leurs compétences.

Discussions similaires

  1. Réponses: 5
    Dernier message: 22/05/2015, 01h01
  2. heberger des sites web
    Par bethier dans le forum IIS
    Réponses: 2
    Dernier message: 30/12/2005, 18h13
  3. Analyse de la fréquentation des sites web
    Par mika0102 dans le forum Statistiques
    Réponses: 7
    Dernier message: 15/09/2005, 21h15

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo