Web Security Administration
Lecture 0
Pascal Lafourcade
2020-2021
“Enseigner,
c’est montrer ce qui est possible.
Apprendre,
c’est rendre possible `a soi-mˆeme.”
Paulo Coelho Le P´elerin de Compostelle
Les ´etudiants apprennent, le professeur favorise l’apprentissage !
“Enseigner,
c’est montrer ce qui est possible.
Apprendre,
c’est rendre possible `a soi-mˆeme.”
Paulo Coelho Le P´elerin de Compostelle Les ´etudiants apprennent, le professeur favorise l’apprentissage !
Organisation du cours : 14 S´ eances
2h cours et 2h TP par semaine I Semaine 1 - Introduction I Semaine 2 - Cryptographie I Semaine 3 - Authentification I Semaine 4 - TLS 1.2 + Attaques I Semaine 5 - Pr´esentations 1, 2, 3 I Semaine 6 - Pr´esentations 4, 5, 6 I Semaine 7 - https + TLS 1.3
Pr´esence !
J’entends, j’oublie.
Je vois, je me rappelle.
Je fais, je comprends.
Confucius
Evaluation ´
I TP : 1 TP au hasard parmi les 5 TPs I Pr´esentations : 25’+ 10’ Q + TP.
I Examen Vednredi 25 juin 10h -11h30
Note = 30%Exam+ 30%Pres+ 40%TP I Compte rendu de TP par email avant prochain cours I SAUF dernier TP jusqu’`a minuit !
pascal.lafourcade@uca.fr
Sujets
1. Local File Injection (LFI)/ Remote File Injection (RFI) : Adrien PLANTADE, Alexandre FARJAS, Benjamin
BONNEFOI, Romain LAGORSSE, Sylvain CHAGNEUX 2. Attack TLS :Maxime Berger, Thomas Vincent, Cl´ement
Maisonhaute, Guillaume Monteilhet
3. Cookies, Tracking & anti-tracking : MULLER Aymeric, BRUGIERE Gaethan, VERGNE Richard, LAHOUEL Thomas 4. Broken Authentication : Killian DHERMENT, Anthony
ROLLAND, Maxime BRANDON, Antoine FERRAND 5. Insecure Deserialisation : RENAUD Nathan, BOUGRAT
Alexandre, JARRY Allan, MARTIN Florian
6. Cross-Site Scripting (XSS)/Cross-Site Request Forgery (CSRF) Victor JANVIER, Antoine COUTARD, Lise
DEMOURGE, Esteban RESTOY
Le seul savoir qui influence vraiment le comportement, c’est celui qu’on a d´ecouvert et qu’on s’est appropri´e soi-mˆeme.
Carl Rogers
L’engagement actif
D’apr`es le cours de Stanislas Dehaene au coll`ege de France, 2015.
I Un organisme passif n’apprend pas.
Exp´erience classique de Held & Hein (1963) (chats) I L’apprentissage est optimal lorsque l’enfant alterne
apprentissage et test r´ep´et´e de ses connaissances.
Exp´eriences de Henry Roediger et al. (Science, 2008)
Vaut - il mieux ´etudier ou se tester ? 1. ST ST ST ST : 4 Study, 4 test 2. ST SS ST SS : 6 Study, 2 test 3. SS SS SS SS : 8 Study, 0 test R´esultats 48 h plus tard.
C’est le nombre de tests qui compte, pas le temps d’´etude.
L’engagement actif
D’apr`es le cours de Stanislas Dehaene au coll`ege de France, 2015.
I Un organisme passif n’apprend pas.
Exp´erience classique de Held & Hein (1963) (chats) I L’apprentissage est optimal lorsque l’enfant alterne
apprentissage et test r´ep´et´e de ses connaissances.
Exp´eriences de Henry Roediger et al. (Science, 2008) Vaut - il mieux ´etudier ou se tester ?
1. ST ST ST ST : 4 Study, 4 test 2. ST SS ST SS : 6 Study, 2 test 3. SS SS SS SS : 8 Study, 0 test
R´esultats 48 h plus tard.
C’est le nombre de tests qui compte, pas le temps d’´etude.
L’engagement actif
D’apr`es le cours de Stanislas Dehaene au coll`ege de France, 2015.
I Un organisme passif n’apprend pas.
Exp´erience classique de Held & Hein (1963) (chats) I L’apprentissage est optimal lorsque l’enfant alterne
apprentissage et test r´ep´et´e de ses connaissances.
Exp´eriences de Henry Roediger et al. (Science, 2008) Vaut - il mieux ´etudier ou se tester ?
1. ST ST ST ST : 4 Study, 4 test 39 % 2. ST SS ST SS : 6 Study, 2 test 25 % 3. SS SS SS SS : 8 Study, 0 test 17 % R´esultats 48 h plus tard.
C’est le nombre de tests qui compte, pas le temps d’´etude.
L’engagement actif
D’apr`es le cours de Stanislas Dehaene au coll`ege de France, 2015.
I Un organisme passif n’apprend pas.
Exp´erience classique de Held & Hein (1963) (chats) I L’apprentissage est optimal lorsque l’enfant alterne
apprentissage et test r´ep´et´e de ses connaissances.
Exp´eriences de Henry Roediger et al. (Science, 2008) Vaut - il mieux ´etudier ou se tester ?
1. ST ST ST ST : 4 Study, 4 test 39 % 2. ST SS ST SS : 6 Study, 2 test 25 % 3. SS SS SS SS : 8 Study, 0 test 17 % R´esultats 48 h plus tard.
C’est le nombre de tests qui compte, pas le temps d’´etude.
Fonctionnement
I Cours disponibles 1 semaine avant I Quizz disponibles 48h avant I TP disponibles apr`es le cours Pendant les heures de cours et TP
I R´eponses `a vos questions
I Eviter l’effet “Google est votre ami”
openssl passwd -1 -salt AAAA "!!1331xxx"
openssl passwd -1 -salt AAAA ’!!1331xxx’
Questions?
Bruce Schneier
“Security is a process, not a product.”