lundi 18 février 2008

Hello Secure World ?

Hello Secure World, c'est le titre de cette nouvelle opération de communication Microsoft autour de la sécurité. Avec installation du plugin SilverLight obligatoire ...

Parmi les ressources proposées, on y trouve un ensemble de strips destinés à la sensibilisation des non-inités (à mon avis, c'est pas gagné quand même). Puisque le serveur est en HTTP, ne vérifie pas le Referer ni le Cookie, voici les liens directs sniffés sur le cable :)

L'écriture de code sécurisé :
http://www.microsoft.com/click/hellosecureworld/xaml/C2/hsw_001_web.jpg
L'analyse statique :
http://www.microsoft.com/click/hellosecureworld/xaml/C2/hsw_002_web.jpg
L'écriture de code sécurisé, bis :
http://www.microsoft.com/click/hellosecureworld/xaml/C2/hsw_003_web.jpg
Le filtrage des entrées utilisateur :
http://www.microsoft.com/click/hellosecureworld/xaml/C2/hsw_004_web.jpg
L'explication du buffer overflow (wow!) :
http://www.microsoft.com/click/hellosecureworld/xaml/C2/hsw_005_web.jpg
L'explication du cross-site scripting :
http://www.microsoft.com/click/hellosecureworld/xaml/C2/hsw_006_web.jpg
La cryptographie :
http://www.microsoft.com/click/hellosecureworld/xaml/C2/hsw_008_web.jpg
La défense en profondeur :
http://www.microsoft.com/click/hellosecureworld/xaml/C2/hsw_009_web.jpg
Le Man-in-the-Middle :
http://www.microsoft.com/click/hellosecureworld/xaml/C2/hsw_011_web.jpg
L'usurpation d'identité :
http://www.microsoft.com/click/hellosecureworld/xaml/C2/hsw_012_web.jpg

Pour finir, en voici 2 qui me semblent assez polémiques.

Google Hacking :
http://www.microsoft.com/click/hellosecureworld/xaml/C2/hsw_010_web.jpg
Google en train d'embrocher des sites Web ? Pourquoi ne pas parler de Windows Live Search hacking plutôt ? Peut-être que le nom est trop long pour tenir dans une bulle :)

La faille PDF :
http://www.microsoft.com/click/hellosecureworld/xaml/C2/hsw_007_web.jpg
Sans aller jusqu'à dire qu'Acrobat Reader et le format PDF sont sûrs, il me semble quand même que ça s'est terminé en patch Microsoft pour l'API ShellExecute(), cette affaire ...

2 commentaires:

Anonyme a dit…

Ca montre peut-être que Microsoft considère Google comme LE moteur de recherche qui index le mieux (ou pas). Marrant le comic du beaver overflow en tout cas :p

pello a dit…

Et comme dirait Monsieur Bernard O. de Microsoft: Avec IPv6 "les firewalls et les passerelles vpn n'existeront plus" et on aura des "tunnels ipsec p2p"

Le SDL est en effervescence!