06-01-2025, 14:48
Je savais que cette news serait posé sur TISI, je me suis retenu de la mettre 
Sujet intéressant, générant une discussion qui l'est tout autant. La réponse d'Omnous_Luminae apporte vraiment une dimension technique, mais il ne faut pas confondre génération d'une réponse avec compréhension d'une réponse.
C'est plus du ressort du prof de développement, mais je vais tenter de donner un complément d'information. Pour compléter ce qui a été dit sur les headers de sécurité, il est aussi crucial d'implémenter une protection SameSite pour les cookies : Set-Cookie: session=123; SameSite=Strict
Cette protection est particulièrement efficace car elle empêche l'envoi de cookies lors de requêtes cross-origin, limitant ainsi considérablement la portée des attaques de type clickjacking.
Un point important à noter est que la protection ne doit pas reposer uniquement sur des solutions côté client. Une approche défense en profondeur est nécessaire, combinant les protections côté serveur (headers HTTP, validation des tokens), côté client (détection de frame), et une bonne gestion des sessions.
Les extensions mentionnées par Juanito sont effectivement utiles, mais elles ne devraient être qu'une couche supplémentaire de protection, pas la principale ligne de défense. La sécurité doit être pensée dès la conception de l'application. Hein les développeurs ?
C'est exactement ce genre de vulnérabilités qui montre l'importance d'une veille technologique constante en cybersécurité. Les attaquants innovent continuellement, et nos protections doivent évoluer en conséquence.
Sujet intéressant, générant une discussion qui l'est tout autant. La réponse d'Omnous_Luminae apporte vraiment une dimension technique, mais il ne faut pas confondre génération d'une réponse avec compréhension d'une réponse.
C'est plus du ressort du prof de développement, mais je vais tenter de donner un complément d'information. Pour compléter ce qui a été dit sur les headers de sécurité, il est aussi crucial d'implémenter une protection SameSite pour les cookies : Set-Cookie: session=123; SameSite=Strict
Cette protection est particulièrement efficace car elle empêche l'envoi de cookies lors de requêtes cross-origin, limitant ainsi considérablement la portée des attaques de type clickjacking.
Un point important à noter est que la protection ne doit pas reposer uniquement sur des solutions côté client. Une approche défense en profondeur est nécessaire, combinant les protections côté serveur (headers HTTP, validation des tokens), côté client (détection de frame), et une bonne gestion des sessions.
Les extensions mentionnées par Juanito sont effectivement utiles, mais elles ne devraient être qu'une couche supplémentaire de protection, pas la principale ligne de défense. La sécurité doit être pensée dès la conception de l'application. Hein les développeurs ?
C'est exactement ce genre de vulnérabilités qui montre l'importance d'une veille technologique constante en cybersécurité. Les attaquants innovent continuellement, et nos protections doivent évoluer en conséquence.
[Système d'exploitation : Linux Mint 21.3] - [RAM : 15.34 GB]
[Processeur : 11th Gen Intel® Core™ i5-1135G7 @ 2.40GHz - 4 cœurs physiques]
[Disque dur : SSD 980 PRO 2TB(1,8T)]
[Carte graphique : Intel Corporation TigerLake-LP GT2 [Iris Xe Graphics] (rev 01)]
[Processeur : 11th Gen Intel® Core™ i5-1135G7 @ 2.40GHz - 4 cœurs physiques]
[Disque dur : SSD 980 PRO 2TB(1,8T)]
[Carte graphique : Intel Corporation TigerLake-LP GT2 [Iris Xe Graphics] (rev 01)]
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
