Sign up to save your podcasts
Or
Share #48 - Marine Du Mesnil - Disséquons les failles web
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
#48 - Marine Du Mesnil - Disséquons les failles web
C’est une erreur que font tous les dev webs.
Une faille qu’aucun framework ne peut empêcher.
Mais que Marine est en train d’éradiquer.
De nos jours, la plupart des sites webs utilisent un framework.
Next.js, Symfony, Django, Rails…
On s’en fout.
L’important, c’est de pas avoir à ré-inventer la roue.
Le problème, c’est que souvent, on sait même plus comment elle fonctionne cette “roue”. 😅
Et là où ça devient vraiment critique…
C’est quand ça concerne la sécurité de votre application.
Alors oui, la bonne nouvelle, c’est que pour plein de bugs de sécurité “classiques”, le framework est bien configuré.
Authentification, XSS, CSRF…
Il fait tout, tout seul, comme un grand.
Mais parfois, on fait des trucs exotiques…
Sans bien comprendre…
Et là…
On ouvre une porte, béante.
Le pire dans tout ça, c’est que la faille la plus fréquente du web, et bien...
AUCUN de vos frameworks ne la gère.
Vous ne pouvez compter que sur vous.
Et votre petit 🧠
(ok ok gros cerveau, vous êtes super, je sais 😉)
De là à dire que c’est parce qu’on vous laisse la gérer tout seuls que c’est la plus fréquente 😇
Heureusement, c’est là que Marine intervient.
Car Marine a développé un outil, pour vous épauler là où votre framework vous lâche.
Et comme elle connaît les failles du web sur le bout des doigts, elle a même écrit un livre dessus.
Vous savez, pour les autres failles.
Celles que votre framework doit gérer, mais que des fois, dans un élan de folie, on ré-introduit nous même dans nos sites.
Enfin…
Je dis “nous”…
Moi, j’ai jamais fait ça.
🤥
Bref, pour tout comprendre aux failles du web (et comment les éviter), écoutez attentivement cet épisode avec Marine Du Mesnil !
Bonne écoute 🎧
PS : dites-nous ce que vous pensez de l'épisode en commentaire (et surtout, abonnez-vous !)
Notes de l'épisode :
- la récente faille dans NextJS qui permet de contourner l'authentification : https://dyma.fr/blog/next-js-et-la-faille-des-middlewares-corrompus
- l'histoire de la tentative de corruption de xz-utils : https://daily.dev/fr-fr/blog/xz-backdoor-the-full-story-in-one-place
- l'histoire des cyber-armes dans "This is how they tell me the world ends" de Nicole Perlroth : https://thisishowtheytellmetheworldends.com/
- le livre conseillé par Marine, "Real world bug hunting" : https://www.fnac.com/livre-numerique/a10848441/Peter-Yaworski-Real-World-Bug-Hunting
-----------------------------------
Retrouvez Marine sur Linkedin : https://www.linkedin.com/in/marine-du-mesnil/
Le super livre qu'elle a co-écrit, "Il était une faille" : https://www.amazon.fr/%C3%A9tait-une-faille-marquantes-cybers%C3%A9curit%C3%A9/dp/2959553101
---------------------------------
Je suis Mathieu Sanchez, CTO d'Acasi, et pour me suivre, c'est principalement sur Linkedin : https://www.linkedin.com/in/matsanchez/
Vous pouvez aussi suivre Tronche de Tech, sur vos réseaux favoris :
- Linkedin : https://www.linkedin.com/company/tronche-de-tech/
- Instagram : https://www.instagram.com/tronchedetech/
Hébergé par Acast. Visitez acast.com/privacy pour plus d'informations.
View all episodes
By Mathieu SanchezC’est une erreur que font tous les dev webs.
Une faille qu’aucun framework ne peut empêcher.
Mais que Marine est en train d’éradiquer.
De nos jours, la plupart des sites webs utilisent un framework.
Next.js, Symfony, Django, Rails…
On s’en fout.
L’important, c’est de pas avoir à ré-inventer la roue.
Le problème, c’est que souvent, on sait même plus comment elle fonctionne cette “roue”. 😅
Et là où ça devient vraiment critique…
C’est quand ça concerne la sécurité de votre application.
Alors oui, la bonne nouvelle, c’est que pour plein de bugs de sécurité “classiques”, le framework est bien configuré.
Authentification, XSS, CSRF…
Il fait tout, tout seul, comme un grand.
Mais parfois, on fait des trucs exotiques…
Sans bien comprendre…
Et là…
On ouvre une porte, béante.
Le pire dans tout ça, c’est que la faille la plus fréquente du web, et bien...
AUCUN de vos frameworks ne la gère.
Vous ne pouvez compter que sur vous.
Et votre petit 🧠
(ok ok gros cerveau, vous êtes super, je sais 😉)
De là à dire que c’est parce qu’on vous laisse la gérer tout seuls que c’est la plus fréquente 😇
Heureusement, c’est là que Marine intervient.
Car Marine a développé un outil, pour vous épauler là où votre framework vous lâche.
Et comme elle connaît les failles du web sur le bout des doigts, elle a même écrit un livre dessus.
Vous savez, pour les autres failles.
Celles que votre framework doit gérer, mais que des fois, dans un élan de folie, on ré-introduit nous même dans nos sites.
Enfin…
Je dis “nous”…
Moi, j’ai jamais fait ça.
🤥
Bref, pour tout comprendre aux failles du web (et comment les éviter), écoutez attentivement cet épisode avec Marine Du Mesnil !
Bonne écoute 🎧
PS : dites-nous ce que vous pensez de l'épisode en commentaire (et surtout, abonnez-vous !)
Notes de l'épisode :
- la récente faille dans NextJS qui permet de contourner l'authentification : https://dyma.fr/blog/next-js-et-la-faille-des-middlewares-corrompus
- l'histoire de la tentative de corruption de xz-utils : https://daily.dev/fr-fr/blog/xz-backdoor-the-full-story-in-one-place
- l'histoire des cyber-armes dans "This is how they tell me the world ends" de Nicole Perlroth : https://thisishowtheytellmetheworldends.com/
- le livre conseillé par Marine, "Real world bug hunting" : https://www.fnac.com/livre-numerique/a10848441/Peter-Yaworski-Real-World-Bug-Hunting
-----------------------------------
Retrouvez Marine sur Linkedin : https://www.linkedin.com/in/marine-du-mesnil/
Le super livre qu'elle a co-écrit, "Il était une faille" : https://www.amazon.fr/%C3%A9tait-une-faille-marquantes-cybers%C3%A9curit%C3%A9/dp/2959553101
---------------------------------
Je suis Mathieu Sanchez, CTO d'Acasi, et pour me suivre, c'est principalement sur Linkedin : https://www.linkedin.com/in/matsanchez/
Vous pouvez aussi suivre Tronche de Tech, sur vos réseaux favoris :
- Linkedin : https://www.linkedin.com/company/tronche-de-tech/
- Instagram : https://www.instagram.com/tronchedetech/
Hébergé par Acast. Visitez acast.com/privacy pour plus d'informations.
More shows like Tronche de Tech
View all
Le rendez-vous Tech - RDV Tech
41 Listeners
Tech Café
13 Listeners
Tech&Co, la quotidienne
13 Listeners
Thinkerview
84 Listeners
Génération Do It Yourself
117 Listeners
La Martingale
24 Listeners
Silicon Carne, un peu de picante dans un monde de Tech !
76 Listeners
Endorphine par Running Addict
4 Listeners
HugoDécrypte - Actus et interviews
88 Listeners
Underscore_
20 Listeners
Finary
4 Listeners
Le fil IA
3 Listeners
Le code a changé
11 Listeners
SAFE PACE - Le podcast des sports d'endurance, présenté par Hugo Clément
13 Listeners
Le Fil Mental - Fabien Olicard
2 Listeners