Deux ou trois choses que vous ne savez peut-être pas sur la sécurité de votre site Web
- Conférence (50 mn) :
Liens connexes
Le sujet
Même si vous n'êtes pas programmeur, vous êtes tous au courant des attaques XSS, CSRF, des injections SQL, etc. Mais, une fois le site Web en place et bien programmé pour éviter ces attaques, il en reste d'autres que vous n'avez peut-être pas évaluées. Après un rappel comme quoi les attaques les plus simples sont souvent les meilleures, je parlerai :
- des attaques par déni de service, aussi bien volumétriques (force brute) que plus subtiles. C'est typiquement à votre hébergeur et à l'opérateur réseau de s'en occuper. Mais il est bon d'être au courant de ce qu'ils font.
- des dangers spécifiques au DNS : vous croyez que votre nom de domaine www.jesuisleplusbeau.example mène forcément sur votre site ?
Pas toujours, grâce aux attaques par empoisonnement DNS. Vous verrez pourquoi il faut demander DNSSEC à votre hébergeur. - des subtilités de HTTPS : le petit cadenas vous protège ? Vraiment ?
Depuis le succès de l'opération Tulipe Noire, on ne peut plus croire les autorités de certification. Y a-t-il d'autres pistes ?
Présenté par

Stéphane est ingénieur à l'AFNIC, le registre des noms de domaine en .fr. Il connait surtout le DNS mais il a un peu suivi les dernières tendances en sécurité.
Il a aussi un blog dont tout le monde est d'accord pour dire que son CSS est particulièrement mauvais : http://www.bortzmeyer.org/.