

#48 - Marine Du Mesnil - Disséquons les failles web
C’est une erreur que font tous les dev webs.
Une faille qu’aucun framework ne peut empêcher.
Mais que Marine est en train d’éradiquer.
De nos jours, la plupart des sites webs utilisent un framework.
Next.js, Symfony, Django, Rails…
On s’en fout.
L’important, c’est de pas avoir à ré-inventer la roue.
Le problème, c’est que souvent, on sait même plus comment elle fonctionne cette “roue”. 😅
Et là où ça devient vraiment critique…
C’est quand ça concerne la sécurité de votre application.
Alors oui, la bonne nouvelle, c’est que pour plein de bugs de sécurité “classiques”, le framework est bien configuré.
Authentification, XSS, CSRF…
Il fait tout, tout seul, comme un grand.
Mais parfois, on fait des trucs exotiques…
Sans bien comprendre…
Et là…
On ouvre une porte, béante.
Le pire dans tout ça, c’est que la faille la plus fréquente du web, et bien...
AUCUN de vos frameworks ne la gère.
Vous ne pouvez compter que sur vous.
Et votre petit 🧠
(ok ok gros cerveau, vous êtes super, je sais 😉)
De là à dire que c’est parce qu’on vous laisse la gérer tout seuls que c’est la plus fréquente 😇
Heureusement, c’est là que Marine intervient.
Car Marine a développé un outil, pour vous épauler là où votre framework vous lâche.
Et comme elle connaît les failles du web sur le bout des doigts, elle a même écrit un livre dessus.
Vous savez, pour les autres failles.
Celles que votre framework doit gérer, mais que des fois, dans un élan de folie, on ré-introduit nous même dans nos sites.
Enfin…
Je dis “nous”…
Moi, j’ai jamais fait ça.
🤥
Bref, pour tout comprendre aux failles du web (et comment les éviter), écoutez attentivement cet épisode avec Marine Du Mesnil !
Bonne écoute 🎧
PS : dites-nous ce que vous pensez de l'épisode en commentaire (et surtout, abonnez-vous !)
Notes de l'épisode :
- la récente faille dans NextJS qui permet de contourner l'authentification : https://dyma.fr/blog/next-js-et-la-faille-des-middlewares-corrompus
- l'histoire de la tentative de corruption de xz-utils : https://daily.dev/fr-fr/blog/xz-backdoor-the-full-story-in-one-place
- l'histoire des cyber-armes dans "This is how they tell me the world ends" de Nicole Perlroth : https://thisishowtheytellmetheworldends.com/
- le livre conseillé par Marine, "Real world bug hunting" : https://www.fnac.com/livre-numerique/a10848441/Peter-Yaworski-Real-World-Bug-Hunting
-----------------------------------
Retrouvez Marine sur Linkedin : https://www.linkedin.com/in/marine-du-mesnil/
Le super livre qu'elle a co-écrit, "Il était une faille" : https://www.amazon.fr/%C3%A9tait-une-faille-marquantes-cybers%C3%A9curit%C3%A9/dp/2959553101
---------------------------------
Je suis Mathieu Sanchez, CTO d'Acasi, et pour me suivre, c'est principalement sur Linkedin : https://www.linkedin.com/in/matsanchez/
Vous pouvez aussi suivre Tronche de Tech, sur vos réseaux favoris :
- Linkedin : https://www.linkedin.com/company/tronche-de-tech/
- Instagram : https://www.instagram.com/tronchedetech/
Hébergé par Acast. Visitez acast.com/privacy pour plus d'informations.