Accueil InfoQ Sécurité sur InfoQ
-
Renforcer HTTP
Les révélations récentes de Snowden ont eu un impact sur les réflexions menées par le groupe de travail de l'IETF sur HTTP/2 et sur la façon de prendre en charge le chiffrement dans le protocole. Devrait-il être obligatoire ? Mark Nottingham partage son point de vue à ce sujet.
-
Appliquer la sécurité by design à l'aide de CMMI pour le développement
Pour permettre le développement de produits sécurisés, les processus dédiés aux développements de l'application doivent inclure des tâches liées à la sécurité.
-
Android 4.4 KitKat et l'usine des clés magiques
Avec l'introduction d'Android 4.4, les développeurs sont invités à changer la manière dont les clés symétriques des passphrases sont générées via le SecretKeyFactory.
-
Firefox 26 bloque Java
Mozilla Firefox 26 bloque maintenant par défaut tous les plugins Java pour des raisons de sécurité mais permet quand-même aux utilisateurs de les utiliser s'ils le souhaitent.
-
Une Rétrospective de la Backdoor du Noyau Linux
Avec toutes les inquiétudes récentes à propos de la NSA, une partie de l'attention s'est tournée vers la possibilité de *backdoors*. En 2003, quelqu'un a tenté d'insérer une *backdoor* dans le noyau Linux. Bien qu'interceptée, cette tentative illustre comment des changements en apparence innocents peuvent introduire des vulnérabilités et l'importance de la traçabilité dans le contrôle de sources.
-
Tester la sécurité en continu avec Gauntlt
James Wickett, de l'équipe core de Gauntlt, a présenté à la conférence Velocity de Londres, un tutoriel sur les tests de sécurité dans le cycle d'intégration continu pour obtenir un premier retour du niveau de sécurité de l'application. Comme le nombre de livraisons des releases augmente avec le système de livraison continue, James a souligné l'importance de vérifier régulièrement la sécurité.
-
Microsoft ne reconnaîtra plus les certificats SSL et la signature de code basés sur SHA-1
Suite aux recommendations du NIST (National Institute of Standards and Technology), Microsoft compte arrêter de reconnaître SHA1 pour les certificats SSL et ceux de signature de code. Cette politique sera appliquée dès 2017 sous Windows Vista, Windows Server 2008, et les OS plus récents.
-
Oracle livre 51 correctifs de sécurité pour Java
La semaine dernière, Oracle a livré un patch de mise à jour critique qui incluait 127 nouvelles corrections pour l'écosystème des produits Oracle, et notamment Java SE. Il y avait 51 correctifs de problèmes critiques qui affectaient la JVM client et server.
-
La sécurité avec Docker et les conteneurs
Jérôme Petazzoni, ingénieur principal à dotCloud, a étudié les avancées en termes de sécurité concernant Docker, par rapport aux autres technologies de virtualisation et de conteneurs, dans un récent article de blog "CONTAINERS & DOCKER: HOW SECURE ARE THEY?".
-
La gestion des autorisations multifournisseurs simplifiée avec OAuth.io
OAuth.io est une API et un service s'interfaçant avec plus de 80 fournisseurs OAuth. Cet article rapporte un entretien avec Mehdi Medjaoui, cofondateur d'OAuth.io, dans lequel sont abordés les sujets de la sécurité, du mode de licensing et des développements à venir.
-
Spring Security 3.1: Multiple http, Stateless, Debug, Crypto, HttpOnly, Paramètres Form-login person
SpringSource vient de publier Spring Security 3.1.0. La dernière version majeure de Spring Security était la version 3.0.0 publiée le 23 décembre 2009, avec des versions de maintenance jusqu'à 3.0.7. Ci-dessous les nouveautés de Spring Security 3.1.
-
Twitter API v1.1 apporte le support de JSON et d'OAuth1.0a
Twitter a annoncé la sortie de la version 1.1 de ses API, qui apporte le support de JSON et donne la possibilité aux applications d'authentifier toutes les requêtes avec OAuth 1.0a.
-
Deraillé: des Hackers exploitent une faille Rails vieille de plusieurs mois
Les utilisateurs et administrateurs de sites web Ruby-On-Rails se voient ciblés par un *malware* qui exploite une vulnérabilité Ruby publiée en janvier 2013.
-
Oracle modifie la numérotation de versions pour Java SE
"Pour éviter la confusion causée par les renumérotations de versions", Oracle a annoncé qu'il se dote d'une nouvelle numérotation pour JDK 5.0, JDK 6 et JDK 7.
-
Java encore vulnérable, malgré les derniers patchs
Seulement quelques jours après les dernières corrections, le chercheur en sécurité Adam Gowdiak a trouvé une nouvelle vulnérabilité Java. Dans le billet d'annonce, Adam Gowdiak note que les failles de l'API Reflection affectent toutes les versions de Java SE 7 et "peuvent être utilisées pour réaliser un contournement total de la sandbox de sécurité de Java sur un système cible".