• Beaucoup (trop ?) de développeurs web sont insuffisamment formés pour faire face aux risques de sécurité que certaines pratiques présentent.

    Ce document participe à corriger cet état de fait, en détaillant, en français et de manière plus complète que le site de l’OWASP, différentes méthodes visant à contrecarrer le risque des attaques par redirections arbitraires ( Open Redirects , en anglais) :

    o Les listes blanches statiques ;
    o Les listes blanches dynamiques ;
    o Les signatures cryptographiques.

    https://x-cli.eu/secfiles/OpenRedirects.pdf

    • Document mis à jour pour préciser sur la raison du hmac du hmac, pour rajouter la licence CC BY-NC-ND et pour corriger une erreur menant à une attaque très théorique (possibilité de rejouer une signature genre super super longtemps après, si on est synchro à la seconde prête...)


    • Aucun problème sous FF18 sous MAC. « Faut être à jour, c’tou » ;)

      En effet, le travail est remarquable.
      La publicité ne m’a pas tellement dérangé, par contre. Le seul défaut est que la présentation est faite pour un écran d’une hauteur importante : ainsi sur mon portable, j’ai eu le texte en parti coupé : pas très joli.

      J’avoue que j’ignorais qu’un TLD s’appelait « .cc ». Du coup, dire qu’ils s’occupent de « .cc TLD » est étrangement proche de s’occuper de CC TLDs, ce qui n’est clairement pas la même chose, mais trompera nombre de spectateurs.