Archives

En-têtes HTTP sécurisés

Au cours des dernières années, un certain nombre d’en-têtes HTTP ont été introduits afin d’améliorer la sécurité des sites Internet et des applications web. Bien que la question des failles de sécurité soit généralement adressée au niveau du code source, de nombreuses vulnérabilités, telles que les Cross-Site Request Forgery (CSRF) et les Cross-Site Scripting (XSS), sont souvent bien présentes et parfois difficiles à éviter. En effet, de nos jours les sites et applications web utilisent de nombreuses librairies et framework fournis par des tierces parties, ce qui augmente le nombre potentiel de failles de sécurité. Ces en-têtes HTTP fournissent ainsi un moyen simple d’atténuer l’impact de ces vulnérabilités. Dans cet article, nous allons détailler les différents en-têtes HTTP à disposition : Content-Security-Policy : Cet en-tête permet de définir des politiques de restriction quant aux sources de contenus. Cela permet, par exemple, d’empêcher le chargement de codes JavaScript externes (i.e. provenant d’un autre domaine) ou encore d’empêcher l’exécution de code JavaScript présent dans la page HTML, typiquement pour éviter des XSS. Plus d’info. Public-Key-Pins : Cet en-tête permet de whitelister les Certificate Authority (CA) dans lesquelles le navigateur peut avoir confiance. Le but est donc de lutter contre les CA compromises en associant un certificat X.509 à un domaine....

Publication Open Source du mois : Client REST pour F5

Dans la news du mois de Juin, nous avions mentionné la mise en ligne de notre compte GitHub à travers lequel nous contribuons à la communauté Open Source. Depuis lors, nous avons publié deux nouveaux projets : go-diff et f5-rest-client. Ce sont deux librairies pour le langage de programmation Go. La première permet de calculer un delta entre deux objets alors que la seconde est un client REST pour interroger les APIs fournies par F5 BIG-IP. Dans la suite de cet article nous allons détailler cette dernière. Objectif Comme nous l’avons mentionné précédemment, f5-rest-client est un client REST pour BIG-IP. Ce client fournit ainsi un accès « programmatoire » aux différents modules de BIG-IP. Concrètement, il permet d’accéder aux configurations des différents modules (LTM, GTM, ASM, etc.), de les modifier ou encore d’en déployer de nouvelles. En outre, il supporte différents modes d’authentification tels que par HTTP Basic Authentication ou par token. Avec cette librairie nous pouvons donc développer des outils capables d’interagir directement avec une instance de BIG-IP. Dans l’état actuel, le client supporte les fonctionnalités suivantes : Gestion des Virtual Servers (pool, node, iRules et monitors) Cluster Management Gestion de ressources réseau (interfaces, VLAN, trunk, self IP, route et route domains) Gestion de divers paramètres systèmes Nous avons pour but d’ajouter de...

e-Xpert Solutions parmi les 50 premiers certifiés F5 401 Security Expert au monde

e-Xpert compte parmi ses rangs un des 50 premiers ingénieurs certifiés F5 401 Security Expert au niveau mondial. Yoann Le Corvic, Senior Security Engineer, a passé avec succès la certification F4 401 lui donnant le grade de Security Expert chez F5. Cette certification requiert non seulement des connaissances approfondies des technologies F5 mais également de solides connaissances connexes. Félicitations à lui !

Demande d'inscription à notre newsletter

Rejoignez notre mailing liste pour rester informé sur votre sécurité !

Votre demande d'inscription a bien été enregistrée!