Les clés de l’API OAuth de twitter révélées!

Les clés des applications officielles de Twitter pour accéder à l’API OAuth viennent d’être diffusées sur Github il y a quelques jours! 

Cette clé et le secret fonctionne comme un login et un mot de passe pour les applications qui ont besoin d’accéder à l’API Twitter en utilisant OAuth.

Les clés qui ont été révélées sont pour l’application iPhone, l’application Android, l’application mac , l’application iPad, …

Lire la suite

Etude de cas: le vol de données chez ABC

Il y a quelque jours le site de la chaîne télévisée ABC a été piraté. Le pirate à réussit a récupérer la base des utilisateurs du site, soit pas loin de 50 000 entrées. Il n’a pas fallu beaucoup de temps pour que ces données soient disponibles sur la toile.

J’ai donc réussi a me procurer une copie de cette base pour en faire une analyse rapide. On retrouve une table plutôt classique composée des différents champs dont l’email et le mot de passe. Dans ce billet un champs va particulièrement nous intéresser: le mot de passe.

Lire la suite

Premiers pas avec Thrift

Dans ce billet je vais vous présenter Thrift, une technologie permettant de faire de la communication client/serveur multiplateforme et multilangage. Il sera donc possible d’avoir un serveur en JAVA pour des clients en PHP, Python, C#, … et inversement!

Afin d’illustrer son utilisation je vous guiderais à travers un exemple en Java.

Lire la suite

La sécurité des mots de passe partie III : la réinitialisation du mot de passe

Cet article est inspiré du très bon article de Troy Hunt Everything you ever wanted to know about building a secure password reset feature. Troy Hunt est un architecte logiciel ainsi qu’un MVP Microsoft qui possède un blog très intéressant sur lequel vous pourrez trouver beaucoup d’articles concernant la sécurité des applications web.

Récemment j’ai eu l’occasion de plancher sur la création d’une fonction de réinitialisation de mot de passe. C’est en réfléchissant aux bonnes pratiques à mettre en place que je me suis rendu compte qu’aucune ressource n’existe actuellement pour couvrir l’ensemble du problème. D’où ce billet.

La réinitialisation de mot de passe est un sujet un  peu trouble. Il existe énormément de  façons de résoudre ce problème, certaines parfaitement légitimes et d’autres plutôt mauvaises. Il y a des chances que vous ayez déjà réinitialisé vos mots de passe à de nombreuses reprises sur différents sites, nous allons donc ici voir les bonnes pratiques en la matière.

Lire la suite

Quelques explications sur les certificats SSL

Cet article est la traduction du très bon article de Larry Ullman : Getting an SSL Certificate/Setting Up HTTPS. Je vous incite à aller visiter son blog qui est très intéressant. De nombreux articles sont présents sur le développement web et sur le framework Yii!

Si vous possédez un site effectuant du E-Commerce vous aurez besoin d’un certificat SSL pour pouvoir supporter HTTPS (Hypertext Transfer Protocol Secure).

C’est un point indispensable.  Je sais qu’un certificat SSL possède un certains coût annuel, mais c’est nécessaire !
Dans ce billet je vais présenter ce qu’est HTTPS et pourquoi son utilisation est obligatoire quand on gère un site de E-commerce.

La sécurité des mots de passe partie II : la politique de sécurité

Dans un billet précédent j’ai décris les différents composants nécéssaire pour stocker un mot de passe de la manière la plus sûre possible.

Aujourd’hui je vais vous parler d’un autre composant très important: la politique qu’un site doit adopter pour les mots de passe de ses utilisateurs.

Lire la suite

La sécurité des mots de passe partie I : le stockage

Je pense que tout créateur d’application web doit se tenir au courant des différentes pratiques à adopter pour sécuriser au maximum son application.

J’ai dernièrement été amené à travailler sur le module d’authentification d’un site web. Un constat que je m’étais fait avant est de nouveau apparu: la majorité des gens n’ont aucune connaissance sur la manière de stocker les mots de passe de manière sécurisée dans leur base de données!

Lire la suite