Aller à la recherche

Mot-clé - Sécurité

Fil des billets

mardi 12 septembre 2017 22:13

Valider un site web

Voilà. Votre site web tout neuf est en prêt. Tout est en place. Sur votre navigateur, tout s'affiche bien.

Mais est-il bien paramétré et présente-t-il un bon niveau de sécurité ?

Pour répondre à ces différentes question, un certains nombre d'outils en ligne permettent d'auditer votre système à distance pour savoir où vous en êtes.

Attention, je ne parle ici que de la sécurité visible de l'extérieur. N'oubliez pas qu'il y a aussi beaucoup à faire pour sécuriser votre serveur de l'intérieur (pare-feu, SElinux, AppArmor, paramètres systèmes, et cætera).

Vérifications du domaine

Utilisation de technologies modernes

La Plateforme des standards internet des Pays-Bas permet de vérifier l'utilisation des standards récents par un site web ou un serveur de messagerie.

https://en.internet.nl/

Ce site à l'avantage d'offrir une approche globale, en faisant des vérifications couvrant différent domaines (DNS, IPv6, chiffrement). C'est une bonne première approche.

DNS

Le DNS est la brique de base de votre serveur. Sans DNS, aussi bon et efficace que soit celui-ci, vous aurez des problèmes. De plus, le DNS peut améliorer la sécurité d'un site ou d'une serveur de messagerie.

Zonemaster, l'outil de vérification de l'AFNIC et de l'IIS

Zonemaster vérifie le paramétrage de base de votre infrastructure DNS. C'est l'outil à utiliser en priorité après toute grosse modification.

https://www.zonemaster.fr/

DNS Spy, le service de validation DNS

DNS Spy vérifie non seulement le paramétrage de base de votre DNS, il vérifie également les entrées plus avancées comme DMARC, SPF, CAA...

https://dnsspy.io/

De plus, DNS Spy propose un service payant de surveillance de domaines. Pour une entreprise, cela peut être bon moyen de superviser cet élément crucial de son infrastructure.

Chiffrement SSL/TLS

La société Qualys propose un test en ligne très complet de validation du chiffrement TLS utilisé par votre serveur. Il vérifie la qualité du chiffrement utilisé, le certificat, la présence de vulnérabilité et la compatibilité avec différents clients.

Si vous pensez que votre site est sécurisé, faites le test, vous serez peut-être surpris...

https://www.ssllabs.com/ssltest/ind...

Si vous ne savez pas comment configurer TLS, jetez un coup d'œil au wiki de Mozilla.

Vérification de pages

Performances

Le service Web Page Test proposé par Google permet d'analyser les performances de votre site web. Ce service permettra d'identifier des insuffisances de paramétrage de votre serveur web, mais aussi d'identifier les fichiers image mal optimisés.

https://www.webpagetest.org/

En-têtes HTTP

Enfin, les en-têtes renvoyés par votre serveur web peuvent contribuer à améliorer la sécurité de votre site.

Le service securityheaders.io de Scott Helme permet de vérifier les en-têtes de sécurités renvoyés par vos sites :

https://securityheaders.io/

Attention, ce service recommande l'utilisation des en-têtes HTTP Public Key Pins, alors que leur utilisation est pour le moins contestée.

lundi 28 juillet 2014 22:59

EuroPython 2014 : 5 présentations à voir

Les 5 conférences ci-dessous ont été présentées en anglais lors de la conférence EuroPython 2014. Les sujets abordés peuvent vous intéresser, même si vous n'êtes pas des programmeurs Python.


Will I still be able to get a job in 2024 if I don't do TDD
Pourrais-je encore trouver du travail en 2024 si je ne pratique pas le développement piloté par les tests ?

La présentation la plus marquante de cette conférence. À voir absolument si la programmation vous intéresse.

https://www.youtube.com/watch?v=loW...


The Sorry State of SSL
SSL en mauvais état

Vous gérez un site internet ? Vous développez une application en ligne ? Cette présentation vous dira tout ce que vous devez absolument savoir pour que votre site ne soit pas une horrible passoire. À voir !

https://www.youtube.com/watch?v=PJ5...


DevOps Risk Mitigation: Test Driven Infrastructure
L'infrastructure pilotée par les tests : limiter les risques de l'approche DevOps

Comment mettre en place une chaîne de production logicielle qui permettent de réduire drastiquement les délais de mise en production. Une conférence fascinante.

https://www.youtube.com/watch?v=L6T...


What can python learn from Haskell?
Qu'est-ce que Python peut apprendre d'Haskell ?

Cette conférence offre un panorama remarquables des défis auxquels le langage Python doit faire face.

https://www.youtube.com/watch?v=eVC...


Python for Zombies
Python pour les zombies

Comment, avec très peu de moyens, former à Python des milliers d'élève. Impressionnant.

https://www.youtube.com/watch?v=egj...


Page top