+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Community Manager

    Femme Profil pro
    Étudiant
    Inscrit en
    juin 2015
    Messages
    1 582
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juin 2015
    Messages : 1 582
    Points : 4 548
    Points
    4 548

    Par défaut Les dix principales erreurs commises par les développeurs en cryptographie

    Chers membres du club,

    J'ai le plaisir de vous présenter ce tutoriel de Scott Contini pour vous apprendre les dix principales erreurs à éviter en cryptographie.

    Après avoir effectué des centaines de revues de sécurité de code auprès de sociétés allant de la petite start-up à la grande banque ou à l'opérateur majeur de télécommunications, et après avoir lu des centaines de questions ou de billets sur la sécurité, j'ai établi une liste des dix principaux problèmes de cryptographie que j'ai observés.
    Bonne lecture .

    Retrouvez les meilleurs cours et tutoriels pour apprendre la sécurité informatique
    Vous avez envie de contribuer au sein du Club Developpez.com ? Contactez-nous maintenant !
    Vous êtes passionné, vous souhaitez partager vos connaissances en informatique, vous souhaitez faire partie de la rédaction.
    Il suffit de vous porter volontaire et de nous faire part de vos envies de contributions :
    Rédaction d'articles/cours/tutoriels, Traduction, Contribution dans la FAQ, Rédaction de news, interviews et témoignages, Organisation de défis, de débats et de sondages, Relecture technique, Modération, Correction orthographique, etc.
    Vous avez d'autres propositions de contributions à nous faire ? Vous souhaitez en savoir davantage ? N'hésitez pas à nous approcher.

  2. #2
    Membre régulier
    Profil pro
    Inscrit en
    mars 2003
    Messages
    137
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2003
    Messages : 137
    Points : 110
    Points
    110

    Par défaut

    Bravo pour cet article.

    Il y a plusieurs années que je m’intéresse à la sécurité, et j'ai eu beaucoup de mal pour avoir les infos présentes dans cet article.
    J'espère que cela améliorera la sécurité des applications.

    Pour les API Java qui sont mal concue niveau sécurisé, il suffit de regarder JDBC.
    Pour stocker de façon sécurisé un mot de passe, il doit être mis dans un keystore.
    Pour ouvrir une connexion en JDBC, il faut un mot de passe, mais il doit est mis en clair, et impossible de le récupérer à partir d'un keystore.

  3. #3
    Membre chevronné

    Profil pro
    Inscrit en
    mai 2008
    Messages
    1 460
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2008
    Messages : 1 460
    Points : 2 249
    Points
    2 249

    Par défaut

    En matière de crypto, il y a une règle simple: ne pas écrire sa crypto soi-même pour une application en production, et utiliser des libs testées, éprouvées et faciles à utiliser. Ça tombe bien, Libsodium vient d'être auditée et a des bindings pour tous les languages ou presque. Il n'y a absolument aucune raison pour ne pas l'utiliser.

  4. #4
    Candidat au Club
    Homme Profil pro
    Étudiant
    Inscrit en
    septembre 2017
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : septembre 2017
    Messages : 1
    Points : 2
    Points
    2

    Par défaut

    Bonjour à tous, je crée un compte pour réagir à ce sujet ..

    Je suis étudiant en stage de fin d'étude actuellement chez un éditeur de logiciel spécialisé en identité et authentification. Je suis effaré du manque de connaissances cryptographique qu'on beaucoup de développeurs ici. Beaucoup ne font pas la différence entre une signature et un chiffrement, voir ne comprennent pas du tout la cryptographie asymétrique, et alors il n'est pas question d'essayer de leur expliquer le problème du double DES. Ce qui est inquiétant c'est qu'ils implémentent tous ces algorithmes à longueur de journée ... sans savoir de quoi ça cause.

    Alors il y a des personnes qui tiennent la baraque (heureusement), qui font les choix techniques notamment, et qui expliquent à la volée en 5 min la tâche qu'il devra réaliser, au dev en question. Le dev est pas plus avancé, il ne saura pas demain ce qu'il vient de programmer, il ne sait pas aujourd'hui pourquoi il a utilisé telle ou telle librairie, il n'a pas de recul sur son travail. Je trouve dommage qu'il n'y ait pas eu de formation (du moins sur le temps que j'ai passé ici) sur des sujets aussi centraux pour une société fournissant des solution d'authentification..

    J'ai conscience que mon cas est particulier mais il me conforte dans mon idée que peu de monde se soucie réellement de la sécurité, du respect de la vie privée, de l'intégrité des données. Alors oui on est sur une vague de prise de conscience depuis quelques mois, on voit fleurir des banderoles "Mon site est sécurisé !! Ayez confiance !!" ...mais que valent ces solutions ?

Discussions similaires

  1. Désactiver les pages d'erreur HTML par défaut
    Par Delprog dans le forum Zend
    Réponses: 1
    Dernier message: 13/07/2010, 10h55
  2. Repérer les types d'erreurs levées par Python
    Par rambc dans le forum Général Python
    Réponses: 14
    Dernier message: 09/10/2009, 01h04
  3. Quels sont les formats graphiques supportés nativement par les navigateurs
    Par Plopcool dans le forum Balisage (X)HTML et validation W3C
    Réponses: 1
    Dernier message: 08/03/2009, 20h17
  4. Réponses: 3
    Dernier message: 28/09/2007, 12h44
  5. Réponses: 7
    Dernier message: 24/01/2007, 17h05

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo