GRATUIT

Vos offres d'emploi informatique

Développeurs, chefs de projets, ingénieurs, informaticiens
Postez gratuitement vos offres d'emploi ici visibles par 4 000 000 de visiteurs uniques par mois

emploi.developpez.com

Mozilla dévoile « Hack-n-Plug »
Un nouveau standard pour simplifier l'interaction entre les outils de sécurité et les navigateurs

Le , par Cedric Chevalier, Expert éminent sénior
Certains doivent se souvenir de leur début difficile dans le domaine de la sécurité des applications web. Beaucoup ont surement dû jeter l’éponge trop tôt, à cause de la difficulté de configuration de l’environnement de tests des tutoriels. À titre d’exemple, capturer les requêtes HTTPS d’un navigateur à partir d’une solution comme Web Scarab n’est pas une tâche aussi simple qu’on pourrait le penser. Elle se déroule en plusieurs étapes, faisant intervenir la configuration d’un proxy ainsi que des certificats de sécurité. L’échec d’une seule de ces étapes conduit non seulement à un navigateur incapable d’ouvrir un site web, mais aucun trafic n’est non plus capturé par le logiciel de sécurité.

Simon Bennett, ingénieur en sécurité en fonction chez Mozilla et créateur de ZAP (Zed Attack Proxy), un fork de Paros Proxy (un logiciel dédié à la sécurité des applications web), propose un standard ouvert sous licence « Mozilla Public Licence 2.0 » pour simplifier les processus autour de la sécurité des applications web.

Ce nouveau standard, baptisé « Plug-n-Hack », définit comment les logiciels employés dans la sécurité web et les navigateurs doivent interagir de façon utile et exploitable. Pour revenir au cas de figure énoncé plus haut, concernant la mise en place de l’environnement de tests, Plug-n-Hack aurait épargné à plus d’un cette tâche ingrate, leur permettant de se concentrer uniquement sur l’essentiel : tester la sécurité des applications web.

Le standard a été conçu pour n’être lié à aucune solution de sécurité ou navigateur web particulier. Ce qui rend son intégration possible avec la multitude d’outils libres comme payants disponibles sur Internet.

Plug-n-Hack est encore en cours de développement. Firefox 24 et ZAP bénéficient de ses fonctionnalités. L’intégration du standard dans le logiciel BURP est à venir.


ZAP en action dans Firefox (intégration rendue possible par Plug-n-Hack)

Télécharger l'extension ZAP prenant en charge Plug-n-Hack

Source : blog Mozilla

Et vous ?

Vous reconnaissez-vous dans ces amateurs en sécurité qui ont éprouvé des difficultés à mettre en place des environnements de tests de sécurité d'applications web ?

Que pensez-vous de ce protocole ? Allez-vous l’adopter ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de n5Rzn1D9dC n5Rzn1D9dC - Membre averti https://www.developpez.com
le 27/08/2013 à 12:53
Pour voir les requêtes que le navigateur envoi aux sites, j'utilise httpfox. Il n'y a rien à configurer. Ca montre toutes les requêtes, http et https.
J'ai voulu tester pnh, mais il refuse de s'installer sous Iceweasel.
Offres d'emploi IT
Ingénieur développement .net h/f
Sogeti - Midi Pyrénées - Toulouse (31000)
Développeur / gestion de projets sharePoint h/f
EXPERIS IT - Ile de France - Ile de France
Futurs ingénieurs informatique H/F
Adaming - Midi Pyrénées - Toulouse (31000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil