Sécurité web au sein du navigateur

Rechercher une formation
Logo

Source : Carif Ile-de-France

Fiche originale

Partager sur :

Objectifs, programme, validation de la formation

Objectifs

  • Découvrir les mécanismes de sécurité offerts par les navigateurs
  • Evaluer la posture de sécurité de votre app Web côté client
  • Connaître les bonnes pratiques, et discerner les mauvaises
  • Utiliser ces outils pour défendre ses utilisateurs/utilisatrices dans le navigateur

Description, programmation

Jour 1 : cookies et CORS
Introduction

  • La sécurité sur le Web : pas seulement une affaire côté serveur
  • Le navigateur : le premier rempart
  • Rapide passage en revue des navigateurs
    X-Content-Type-Options
  • Content sniffing
  • Exercice : semer la confusion chez le navigateur et causer du XSS
  • Mise en pratique : résolution à l’aide de la directive nosniff
  • De l’importance de choisir un bon Content-Type
    Cookies
  • Scoping : bonnes et mauvaises pratiques
  • HttpOnly et Secure : les attributs incontournables
  • Etude de cas : conséquences de cookies mal configurés
  • SameSite : le petit nouveau
    Cross-Origin Resource Sharing (CORS)
  • La Same-Origin Policy en deux mots
  • Motivations d’assouplir la SOP
  • JSONP : la méthode "old school" et dangereuse
  • CORS : la méthode moderne
  • Etude de cas : mauvaise configuration de CORS
  • Exercice : exploitation d’un CORS mal configuré
  • Bonnes pratiques

Jour 2 : CSP et SRI
Content Security Policy (CSP)

  • Le couteau Suisse de la sécurité au sein du navigateur
  • Restreindre l’origine des resources
  • Restreindre le _cross-origin framing_
  • Quid des entêtes X-Frame-Options et X-XSS-Protection ?
  • Autres directives utiles de la CSP
  • Bonnes pratiques
  • Etude de cas : critique d’une CSP existante
    Subresource Integrity (SRI)- Problèmes liés au chargement de ressources externes
  • Quelques exemples tristement célèbres de Web skimming
  • Etude de cas : attaques Magecart
  • Garantir l’intégrité de resources externes
  • Obstacles à l’adoption du SRI

Jour 3 : HTTPS et autres mécanismes de sécurité
HTTPS et certificats

  • HTTPS pour les nul.le.s
  • HTTP Strict Transport Security
  • Certificate Transparency et ses conséquences
  • HTTP Public-Key Pinning : le villain petit canard
  • Expect-CT : un ami de passage
  • Signed Certificate Timestamps
    noopener et noreferrer
  • Reverse tabnabbing : une attaque méconnue
  • Exercice : exploitation d’une faille de type reverse tabnabbing
  • Mise en pratique : noopener et noreferrer à la rescousse
    Referrer Policy
  • L’entête de requête Referer
  • Exercice : exfiltration de jetons sensibles via l’entête Referer
  • Mise en pratique : résolution à l’aide d’une Referrer Policy
    Feature Policy
  • Protéger les utilisatrices/utilisateurs sur mobile
  • Revue des différentes directives
    Discussion

Validation et sanction

Attestation d’acquis ou de compétences ;Attestation de suivi de présence

Type de formation

Perfectionnement, élargissement des compétences

Niveau de sortie sans niveau spécifique

Durée, rythme, financement

Durée 21 heures en centre
Durée indicative : 2 jours

Modalités de l'alternance FOAD : 21 h

Conventionnement Non

Conditions d'accès

Niveau d'entrée sans niveau spécifique

Conditions spécifiques et prérequis - Bases de HTTP, utilisation régulière de HTML et JavaScript - Ordinateur portable à apporter

Inscription

Contact renseignement Mme Nathalie ROUESNEL

Périodes prévisibles de déroulement des sessions

Session débutant le : 21/09/2021

Adresse d'inscription
17 Rue Galilée 75016 Paris 16e

Lieu de formation

Adresse :

17 Rue Galilée 75016 Paris 16e

Téléphone

01 84 17 38 96

Site web

https://www.humancoders.com/

Organisme de formation responsable

Human Coders

Adresse

17 Rue Galilée 75016 Paris 16e

Téléphone

01 84 17 38 96

Site web

https://www.humancoders.com/