R2... et on installe PulseAudio/X/... par défaut sur une distrib serveur Cordialement, Jean-Yves
Le 15 janvier 2015 15:01, Stephane Martin <stephane.mar...@vesperal.eu> a écrit : > Les milliers de sites défacés depuis lundi semblent indiquer que ce qui > tombe sous le sens… n’est pas évident pour tout le monde. R3 en > particulier. (Qui a mis à jour son Drupal ?) > Ou R10… X-Powered-By on le voit trop souvent, avec la version exacte de > PHP. > > R19… Le terme d’entropie est sans doute mal employé. 128bits comme > *taille* du cookie de session ça semble cohérent. > > R20 est formulé bizarrement. L’idée générale c’est probablement que les > credentials et le cookie de session passent sur un canal chiffré, et non > pas en clair. > > Cordialement, > Stéphane > > > > > Le 15 janv. 2015 à 14:11, Florent Daigniere < > florent.daigni...@trustmatta.com> a écrit : > > > > On Thu, 2015-01-15 at 13:38 +0100, Swali 13 wrote: > >> Bonjour, > >> > >> L'ANSSI vous parle > >> > >> > http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/recommandations-et-guides/securite-des-applications-web/recommandations-pour-la-securisation-des-sites-web.html > >> --------------------------- > > > > La question c'est de savoir si ça vaut la peine de les écouter :) > > Certaines des recommandations tombent sous le sens.. d'autre sont > > complètement farfelues > > > > Exemples : > > > > R19 > > Les identifiants de session doivent être aléatoires et d’une entropie > > d’au moins 128 bits. > > > > -> 128bits pour une attaque en ligne... c'est beaucoup et complètement > > arbitraire > > > > R20 > > Il faut recourir à chaque fois que c’est possible au protocole HTTPS dès > > lors que l’on associe une session à des privilèges particuliers. > > > > -> ce n'est pas réducteur du tout comme approche. C'est bien connu, > > l'authentification ça ne sert que dans un sens ;) > > > > R24 > > Pour les actions sensibles, mettre en place des mécanismes permettant de > > s’assurer de la légitimité de la requête. > > > > -> on parle de click-jacking, ... mais pas d'anti-CSRF > > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
