Sécuriser ses applications web : Attaques temporelles
Ғылым және технология
Article ► grafikart.fr/tutoriels/faille...
Dans cette vidéo je vous propose de découvrir le principe des attaques temporelles et comment s'en protéger.
Soutenez Grafikart:
Devenez premium ► grafikart.fr/premium
Retrouvez Grafikart sur:
Le site ► grafikart.fr
Twitter ► / grafikart_fr
Discord ► grafikart.fr/tchat
Пікірлер: 42
C'est magnifique ! En tant que dev on a tellement besoin de ce genre de choses, coder c'est bien, coder de manière sécuriser pour éviter les attaques c'est mieux.
C'est typiquement le truc auquel on ne pense pas forcément, mais qui peut être super important. Si quelqu'un sait quel email existe sur le site ils peuvent utiliser cette info pour du phising ensuite, etc. Merci pour la vidéo !
Très instructif, merci Jonathan.
Incroyable !!! Merci ❤
ça c'est quelques choses qu'on voit très rarement ! super intéressant !!
très intéressant merci ! je n’y avais jamais pensé
Wow je n'y avais jamais pensé 😮
C'est fuo que il y a eu des gens assez malin pour déduire des informations juste avec le temps de réponse en millisecondes 🤯
Merci l'artiste 🎉
Je préfère mettre un ptit timeout plutôt que simuler un hash dans le vent, ça soulagera mon server en cas d'attaque un peu brute forcée. Merci pour la vidéo.
Alors celle si, je n'y avais pas pensé. Merci pour ces explications. Sinon, on peut aussi, sortir tous les avatars qui peuvent correspondre à un identifiant mal écrit 😂 Merci m'sieur. Romain.
Intéressant de voir les attaques fines d'analyse de l'information
je ne sais pas quand mais un jour j`aurais ton niveau !
Très intéressant ! Alors Bun + Hono tu en penses quoi ? 😊
Bien vulgarisé comme d’habitude ! En revanche, lors de la création d’un compte utilisateur, on doit quand même informer que le compte est deja utilise non ? Donc un attaquant pourra utiliser ce formulaire pour savoir si une adresse mail existe ?
@grafikart
2 ай бұрын
Tu peux faire semblant et dire "le compte a bien été créé" dans le cas où le compte existe. L'inconvénient c'est que cette sécurité peut prêter à confusion pour les utilisateurs.
@vgondr9856
2 ай бұрын
@@grafikart C'est pas plus sécurisé d'envoyer ce genre de message dans le mail justement ?
@dukenuggets
2 ай бұрын
@@vgondr9856 en faite dire qu'on envois un mail de validation ça vaut pour les deux cas tu peut dire qu'un email a été envoyez pour validé votre compte, ça ne prouve pas que l'email existe déjà en base de donnée, le tout c'est d'être suffisamment évasif... @grafikart c'est tout le principe du pot de miel l'un va avec l'autre, donc mettre le même sleep si c'est valide ou non et on bloque si c'est erroné un grand nombre de fois, tu aurais pus faire d'une pierre deux coups avec une vidéo.
@TheSliverside
2 ай бұрын
Je me suis posé la même question et je vois pas de solution idéale. Envoyé un mail est pas une solution idéale parce que tu risques de spam les boîtes mails si quelqu'un tente beaucoup d'adresse
@TheSliverside
2 ай бұрын
Peut être un message générique "si cette adresse mail n'est pas utilisée vous allez recevoir un mail de validation". Et il faudra ce protéger contre les timing attack à ce niveau là
Merci! Très bonne idée. Une question svp, c’est quel langage de programmation dont vous faites le démo svp!
@axela.1884
2 ай бұрын
Le code montré dans la vidéo est en Typescript.
@lecokase
2 ай бұрын
@@axela.1884 merci! Il doit probablement utiliser u serveur Microsoft alors? Ou ce n’est pas obligatoire!
@_Greenflag_
2 ай бұрын
Bun avec Typescript mes petits loulous. Il est en localhost, pas de serveur Microsoft ici.
@lecokase
2 ай бұрын
@@_Greenflag_ merci! Il est trop fort ce bon KZreadr Grafikart dont j’ignore le prénom
Merci Est ce que ceci a un lien avec la complexité des algorithmes ❓
@axela.1884
2 ай бұрын
Non le sujet c'est le temps d'exécution des algorithmes, pas leur complexité.
@maitretofu
2 ай бұрын
@@axela.1884 oui et non , bcrypt ou argon2, on peut leur spécifier une "difficulté" ce qui va fortement influencer sur le temps d’exécution mais aussi de la complexité
Après 3 connexion échouer il faut ban au moins sur de pas avoir d’attaque de ce genre
Grafikart se serait possible dr faire une serie java ensuite sprint boot?
Utiliser un email comme login est en soi une mauvaise pratique. Ca donne l'information sur la mb à attaquer pour récupérer un mail de validation de reset de pwd par exemple. Ou alors c'est vicieux et le mail de récupération est différent du mail de login :)
oui mais ça sert à quoi concrètement ?
@grafikart
2 ай бұрын
Savoir si un email existe sur un site (ce qui peut être problématique sur certains sites politique / santé...)
@alex595659
2 ай бұрын
d'accord mais on ne peut pas aller plus loins dans les infos contenues dans le site associé à cet email ? non?
@alex595659
2 ай бұрын
et pour accéder à un email d'un patient on a pas non plus un formulaire d'accès publique ? non?
… astucieux
Hmm mouais. Dans ton cas, ce n'est pas vraiment une "attaque" puisqu'aucun code malicieux n'a été envoyé, c'est juste une observation des temps de réponse du serveur en fonction de différents cas de figure. Après, lors de la création du compte, de toute façon ton serveur va renvoyer une erreur / message à l'utilisateur si un compte est déjà existant ... et puis la seule chose que je vois qu'il soit possible de faire c'est de l'ingénierie sociale ensuite (envoyer email frauduleux, espérer que l'utilisateur clique sur un lien, etc)... donc je pense pas forcément nécessaire de mettre ca en place.
@mathieu.berard
2 ай бұрын
Et alors ? Si il y a de l'ingénierie sociale grâce à la récupération d'emails comme ça, c'est bien que ça pose problème. Y'a beaucoup de pirates qui utilisent cette technique, il faut pas la sous-estimer.
@_Greenflag_
2 ай бұрын
@@mathieu.berard "...lors de la création du compte, de toute façon ton serveur va renvoyer une erreur / message à l'utilisateur si un compte est déjà existant" => de toute façon cela restera possible
@laurenttoselli4808
2 ай бұрын
Oui mais ... si vous envoyez à la personne un courriel pour indiquer que quelqu'un veut créer un compte avec son courriel alors la personne qui essaie ne pourra rien savoir sauf si c'est son adresse ou si elle l'a piraté ... et le vrai utilisateur lui saura que quelqu'un tente d'accéder à son compte... Cette partie est la conscience de l'importance de la donnée. Cette communication est donc à préparer car dans certains cas on ne doit pas réagir à une erreur sinon on divulgué non intentionnellement de l'information .
il faut absolument que tu mette le lien de la video sur twitter et facebook et autre reseau sociaux pour faire la pub