Web Security Administration Lecture 0

(1)

Web Security Administration

Lecture 0

Pascal Lafourcade

2020-2021

(2)

“Enseigner,

c’est montrer ce qui est possible.

Apprendre,

c’est rendre possible `a soi-mˆeme.”

Paulo Coelho Le P´elerin de Compostelle

Les ´etudiants apprennent, le professeur favorise l’apprentissage !

(3)

“Enseigner,

c’est montrer ce qui est possible.

Apprendre,

c’est rendre possible `a soi-mˆeme.”

Paulo Coelho Le P´elerin de Compostelle Les ´etudiants apprennent, le professeur favorise l’apprentissage !

(4)

Organisation du cours : 14 S´ eances

2h cours et 2h TP par semaine I Semaine 1 - Introduction I Semaine 2 - Cryptographie I Semaine 3 - Authentification I Semaine 4 - TLS 1.2 + Attaques I Semaine 5 - Pr´esentations 1, 2, 3 I Semaine 6 - Pr´esentations 4, 5, 6 I Semaine 7 - https + TLS 1.3

Pr´esence !

(5)

J’entends, j’oublie.

Je vois, je me rappelle.

Je fais, je comprends.

Confucius

(6)

Evaluation ´

I TP : 1 TP au hasard parmi les 5 TPs I Pr´esentations : 25’+ 10’ Q + TP.

I Examen Vednredi 25 juin 10h -11h30

Note = 30%Exam+ 30%Pres+ 40%TP I Compte rendu de TP par email avant prochain cours I SAUF dernier TP jusqu’`a minuit !

pascal.lafourcade@uca.fr

(7)

Sujets

1. Local File Injection (LFI)/ Remote File Injection (RFI) : Adrien PLANTADE, Alexandre FARJAS, Benjamin

BONNEFOI, Romain LAGORSSE, Sylvain CHAGNEUX 2. Attack TLS :Maxime Berger, Thomas Vincent, Cl´ement

Maisonhaute, Guillaume Monteilhet

3. Cookies, Tracking & anti-tracking : MULLER Aymeric, BRUGIERE Gaethan, VERGNE Richard, LAHOUEL Thomas 4. Broken Authentication : Killian DHERMENT, Anthony

ROLLAND, Maxime BRANDON, Antoine FERRAND 5. Insecure Deserialisation : RENAUD Nathan, BOUGRAT

Alexandre, JARRY Allan, MARTIN Florian

6. Cross-Site Scripting (XSS)/Cross-Site Request Forgery (CSRF) Victor JANVIER, Antoine COUTARD, Lise

DEMOURGE, Esteban RESTOY

(8)

Le seul savoir qui influence vraiment le comportement, c’est celui qu’on a découvert et qu’on s’est approprié soi-même.

Carl Rogers

(9)

L’engagement actif

D’apr`es le cours de Stanislas Dehaene au coll`ege de France, 2015.

I Un organisme passif n’apprend pas.

Exp´erience classique de Held & Hein (1963) (chats) I L’apprentissage est optimal lorsque l’enfant alterne

apprentissage et test répété de ses connaissances.

Exp´eriences de Henry Roediger et al. (Science, 2008)

Vaut - il mieux ´etudier ou se tester ? 1. ST ST ST ST : 4 Study, 4 test 2. ST SS ST SS : 6 Study, 2 test 3. SS SS SS SS : 8 Study, 0 test R´esultats 48 h plus tard.

C’est le nombre de tests qui compte, pas le temps d’´etude.

(10)

L’engagement actif

Exp´eriences de Henry Roediger et al. (Science, 2008) Vaut - il mieux ´etudier ou se tester ?

1. ST ST ST ST : 4 Study, 4 test 2. ST SS ST SS : 6 Study, 2 test 3. SS SS SS SS : 8 Study, 0 test

R´esultats 48 h plus tard.

(11)

L’engagement actif

1. ST ST ST ST : 4 Study, 4 test 39 % 2. ST SS ST SS : 6 Study, 2 test 25 % 3. SS SS SS SS : 8 Study, 0 test 17 % R´esultats 48 h plus tard.

(12)

L’engagement actif

1. ST ST ST ST : 4 Study, 4 test 39 % 2. ST SS ST SS : 6 Study, 2 test 25 % 3. SS SS SS SS : 8 Study, 0 test 17 % R´esultats 48 h plus tard.

(13)

Fonctionnement

I Cours disponibles 1 semaine avant I Quizz disponibles 48h avant I TP disponibles apr`es le cours Pendant les heures de cours et TP

I R´eponses `a vos questions

I Eviter l’effet “Google est votre ami”

openssl passwd -1 -salt AAAA "!!1331xxx"

openssl passwd -1 -salt AAAA ’!!1331xxx’

(14)

Questions?

(15)

Bruce Schneier

“Security is a process, not a product.”