Actualités
Ed Finkler suggère deux améliorations pour la sécurité de WordPress, qui peuvent s'appliquer au développement de toutes les autres applications.
D'abord, l'utilisation de phpass (PHP et Pass), qui est un framework de signature pour PHP. La bibliothèque s'assure que les mots de passe sont bien protégés par une clé de signature avant d'être stocké en base, ce qui rend les attaques systématiques très coûteuses.
Le deuxième est une structuration des cookies qui inclut une clé de vérification dans la valeur du cookie : cookie = nom|date d'expiration|HMAC( utilisateur|date d'expiration|, cle du serveur) De cette manière, la clé reste sur le serveur et permet de vérifier que chaque cookie reçu est bien bien une valeur en provenance du serveur lui-même, sans altération de la part du navigateur.
D'abord, l'utilisation de phpass (PHP et Pass), qui est un framework de signature pour PHP. La bibliothèque s'assure que les mots de passe sont bien protégés par une clé de signature avant d'être stocké en base, ce qui rend les attaques systématiques très coûteuses.
Le deuxième est une structuration des cookies qui inclut une clé de vérification dans la valeur du cookie : cookie = nom|date d'expiration|HMAC( utilisateur|date d'expiration|, cle du serveur) De cette manière, la clé reste sur le serveur et permet de vérifier que chaque cookie reçu est bien bien une valeur en provenance du serveur lui-même, sans altération de la part du navigateur.
Encouraging steps towards security in Wordpress 2.5 (2 visites)- phpass (1 visite)
- A Secure Cookie Protocol (1 visite)
| < Précédent | Suivant > |
|---|
Vous devez vous connecter pour commenter