L'agence
WanadevStudio
5 sources d'amélioration pour la sécurité de votre application Symfony
Dans un monde où les données personnelles deviennent un business pour des hackers, la sécurité devient un élément très important. Il faut savoir protéger ses utilisateurs ainsi que se protéger soi-même.
Voici quelques pistes, conseils ou suggestions qui pourraient vous sauver de quelques coquilles lors de vos développements Symfony.
Se protéger des failles XSS avec HTMLPurifyBundle
Le HTMLPurifyBundle est un bundle qui vous aide à filtrer correctement toutes les entrées utilisateur sur votre site web et éviter toutes injections XSS.
Ce bundle implémente un nouveau filtre Twig qui remplace le filtre raw, en charge de faire le rendu total d'une variable. Le filtre purify limite l'injection de balises <script> qui peuvent être malicieuses. Assez simple d'utilisation, je vous le recommande fortement !
Vérifier et limiter le nombre d'essais de mot de passe
Vérifier et limiter le nombre d'essais de mot de passe ainsi que l'envoi d'emails de réinitialisation pour éviter des attaques de type Brute force. Ces attaques peuvent aussi être assimilées à du DDoS.
Les robots qui crawlent les pages peuvent effectuer un grand nombre de requêtes sur un laps de temps très court. La mise en place d'un ReCaptcha de type Google peut être aussi une très bonne alternative.
Mettre en place un proxy devant l’accès aux ressources sensibles
Pour protéger les données exemples : RIB, factures, lettres (c'est à dire tous les documents ne devant pas être exposés publiquement), il est utile de mettre en place un proxy contrôlant l'accès. Cela évite un accès direct aux dossiers d'upload.
Nous conseillons bien évidement d'effectuer des tests en amont sur les types MIME pour limiter l'injection de code « malin » (XSS).
Se prémunir du Click jacking
Sur une boutique en ligne, vous pouvez être victime d'une attaque de type clickjacking. Pour pallier à ce type d'attaque, vous pouvez placer une en-tête (header) HTTP à rajouter côté serveur. Cela vous met à l'abri de ces problèmes.
Voici la méthode l'en-tête à ajouter : X-Frame-Options: DENY. Cela désactive l'affichage de votre site dans une iframe.
@ Avec ce dispositif, un hacker ne pourra plus détourner un clic d'utilisateur connecté et provoquer un achat inopiné (par exemple).
Double protection de vos formulaires
Enfin, sécurisez vos formulaires en vérifiant chaque information reçue, du côté client mais SURTOUT du côté serveur. Cela vous permet de sécuriser les informations reçues mais également limiter les erreurs de base de données ou erreurs de rendus (templating).
Toutes ces précautions, relativement peu gourmandes, sont simples à mettre en place pour bien sécuriser vos sites Symfony. Ces dispositifs sont par ailleurs des points intéressants à relever lors d'audit de sécurité, de véritables kits de survie ! Ces petites attentions vous le rendront bien.
Et vous, vous avez des petites astuces pratiques pour éviter les pièges lors de vos développements ? Nous sommes attentifs à vos retours et suggestions !
Par ailleurs, je tiens à remercier Alain Tiemblo pour son intervention sur la sécurité à la conférence de l'AFUP 2016 à Clermont Ferrand.
Corentin Baur
-
Ux design, l’atout pour réussir vos projetsIl y a 2 mois
Quelle approche avez-vous de l'ux design au sein de vos projets ? Cet article n’a pas pour but de donner un cours sur l'UX design, mais de vous donner envie d'en savoir plus et d'en faire ressortir sur les bénéfices.
-
Créez votre assistant personnel grâce à Gmail et ChatGPT 4Il y a 2 semaines
Les LLMs, ou Large Language Models, comme ChatGPT, Llama2, Claude ou encore Mistral nous donne un avant-goût du futur des assistants virtuels tels que nous les connaissons avec Google, Siri ou Alexa. Pourtant, il manque une sacrée touche personnelle avec ces assistants nouvelle génération. Même si OpenAI a mis en place un système permettant d’à peu près personnaliser son expérience avec ChatGPT, nous sommes loin d’avoir des IA qui nous connaissent réellement. La raison est assez simple : ceux-ci n’ont pas accès à vos données. Et si on aidait ces LLMs si puissant en leur donnant des données pour qu’ils sachent répondre à des requêtes très personnalisées ?
-
Être speaker : de l'autre côté des conférences techIl y a 1 mois
Chez WanadevDigital, nous encourageons nos collaborateurs à intervenir sur leurs sujets d'expertise auprès de la communauté de développeurs PHP. Plusieurs d'entre eux sont intervenus sur des thématiques de leur quotidien, tels que Suzanne et sa conférence sur le concept art, ou encore François lors de la table ronde du Sport Unlimitech à Lyon en 2019. Aujourd'hui, nous avons demandé à Alexandre, lead developer au sein de l'agence depuis décembre 2022 et qui est intervenu sur des nombreuses conférences à destination des développeurs PHP (PHPers Summit 2023, Forum PHP 2023, Symfony Live 2022, etc.), de nous parler de son expérience de speaker pour donner les clés nécessaires à une première intervention.
-
La démarche et les premiers pas de la transition écologique de Wanadev et de ses marquesIl y a 3 mois
Ni aveugles à la situation écologique, ni étrangers dans notre rôle, il est responsable de s’y mettre: comment, nous, entreprise digitale, pouvons-nous nous engager dans la lignée des accords de Paris ? Pour faire plus simple : comment pouvons-nous jouer notre / un rôle dans la limitation du réchauffement climatique à 1,5°C ?
-
Les configurateurs 3D révolutionnent tous les secteurs d’activitésMéthodologieIl y a 6 mois
À l'origine, les configurateurs de produits sur Internet étaient peu nombreux. On les retrouvait principalement dans le secteur automobile car l'investissement dans leur développement était rapidement rentabilisé. Ailleurs, la mise en place de telles solutions a été plus longue et les logiciels dédiés étaient privilégiés. Depuis quelques années, de nombreux secteurs se lancent dans la mise en place d'outils 100% web. La technologie est mature, la demande du marché est forte et les coûts de mise en place ont diminué.
-
Testez vos tests PHP avec InfectionIl y a 7 mois
Il y a quelques semaines, nous vous parlions des tests fonctionnels avec Behat et Symfony. Parallèlement à ça, nous avons renforcé la qualité de nos tests unitaires grâce à ce que l'on appelle des tests de mutation. Voyons comment Infection à apporter la confiance en nos tests qu'il nous manquait !
Commentaires
Philippe
Il y a 7 ans
Bonjour
Je développe actuellement un "intanet" pour notre lycée avec Symfony3 et mon problème actuel est de réussir à sécuriser un espace pour les documents privés.
Auriez vous des liens pointant vers des tutos ou des exemples ?
D'avance merci
Philippe