Coding Stories

Singe savant en ingénierie logicielle

Video : Deep Dive Into Android Security

| Comments

Si vous chercher à mieux comprendre le fonctionnement du modèle de sécurité Android je vous conseille fortement de regarder cette vidéo. Dans cette excellente session de la conférence AndDevCon II Aleksandar Gargenta présente différents aspects liés à la sécurité sur Android (le sandboxing des applications, le fonctionnement du système de permissions, le chiffrement et la protection des données, etc) mais il parle également des limites du modèle et des contre-mesures contre les menaces (signature des applications, rooting & rootkits, SE-Linux, etc).

Améliorer La Sécurité Du Développement Avec Git

| Comments

Quand on développe un produit de sécurité (firewall, VPN, application de chiffrement…) on cherche a donner confiance dans son produit et on est bien souvent amené pour cela à passer des certifications (CSPN, Critères Communs, etc) et à ainsi prouver qu’on applique de «bonnes pratiques» de matière développement : gestion des bugs, tests, utilisation d’un SCM. Un point important est de montrer que le code source du produit est maîtrisé, c’est à dire qu’aucune modification, intentionnelle ou non, ne peut être intégrée au produit sans avoir été validé. Et pour cela Git est un outil qui peut réellement aider.

Changement Du Thème

| Comments

Ne soyez pas étonnés si le site à changé de tête ; suite à une mise à jour hasardeuse (faire une mise à jour sans réfléchir est presque aussi stupide que que ne pas la faire) le thème que j’utilisais n’est plus compatible avec la version actuelle.

Bref, plutôt que garder un thème dégradé j’ai préféré basculer sur le thème par défaut de WordPress… Le temps de régler le problème. Mais finalement, ce thème, je l’aime bien ; il est sobre et lisible même s’il lui manque toutefois quelques fonctionnalités que je trouvais bien pratique comme l’ouverture des images dans un popup javascript.

Finalement, garder le thème actuel, remettre l’ancien, régler les problèmes de la mise à jour ou installer une tout nouveau thème ? La décision n’est pas encore prise, je verrai à l’usage.

La Cryptographie à Clé Publique Par Ses Inventeurs

| Comments

Ron Rivest, Adi Shamir, Leonard Adleman, Whitfield Diffie, Martin Hellman, Ralph Merkle. Dans les années 70 en découvrant la cryptographie à clé publique ils ont révolutionné le monde. Télécommunications, commerce électronique, cartes bancaires, téléphonie mobile, VIGIK®… Nous utilisons tous et tous les jours leurs découvertes, souvent même sans le savoir.

Dans cette courte vidéo diffusée à l’ouverture de la conférence RSA 2011, les acteurs de cette révolution en racontent la genèse.

SSL/TLS : Un Problème Fréquent

| Comments

Je viens de lire un post très intéressant sur le blog de Ippon Technologies qui met en lumière l’importance de la notion de chaîne de certificats.

Le standard X.509 est basé sur un modèle de confiance pyramidal :

En haut ce sont les racines de confiance (trust anchors), en bas les certificats des utilisateurs finaux (end entity) et au milieu on trouve les certificats des autorités de certification intermédiaires. Il faut garder à l’esprit que celui qui valide un certificat ne possède en général que la racine de confiance ; mais pour effectuer la validation il faut disposer de la chaîne de certificats au complet, c’est à dire le certificat final avec l’ensemble des certificats des autorités intermédiaires. Moralité : un certificat seul ne sert à rien, il faut toujours considérer la chaîne dans son ensemble.

L’article sur le blog de Ippon : http://blog.ippon.fr/2011/07/23/pourquoi-firefox-ou-java-ne-reconnaissent-pas-ce-certificat-ssl-si-cherement-payee/

Git Pour Les Imbéciles Comme Moi

| Comments

Git, je n’y comprenais rien. Et puis j’ai vu la présentation de Sébastien Douche (twitter, blog) au Paris JUG et les choses alors sont devenues beaucoup plus claires. Cette présentation doit absolument être vue par tous les développeurs qui utilisent un logiciel de gestion de source (donc tous les développeurs). Ce qui me désole le plus c’est qu’avant j’étais heureux dans l’ignorance ; désormais je souffre quand je dois utiliser subversion…

Les concepts

La pratique

Java 7 : Les Nouveautés Côté Sécurité

| Comments

La sortie de Java 7 est imminente et on a déjà beaucoup parlé des grandes nouveautés de cette version (multi-catch, opérateur diamant, Fork/Join, opcode invokedynamic…). Mais Java 7 arrive également des tas de petites améliorations, nouveautés et corrections de bugs. Voilà donc un petit résumé des principales nouveautés de Java 7, côté sécurité.

Security Stack Exchange

| Comments

Le site de questions/réponses Security Stack Exchange vient de sortir de sa phase de béta test et devient donc officiellement le 28e site du réseau Stack Exchange (dont la tête de pont est le célèbre Stack Overflow, le site de questions/réponses dédié aux programmeurs de tout poil).

Nouveau design donc pour le site qui abandonne les couleurs de la béta, mais également ouverture d’un blog et d’un compte twitter. Si vous avez des questions sur la sécurité des applications web, sur la certification des PKI, sur les cartes à puce, sur les standards cryptographiques… vous êtes au bon endroit.

À noter également l’ouverture (mais pour le moment en béta privée) d’un autre site dédié spécifiquement aux questions touchant la cryptographie.