IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Mozilla dévoile « Hack-n-Plug »
Un nouveau standard pour simplifier l'interaction entre les outils de sécurité et les navigateurs

Le , par Cedric Chevalier
1 commentaire

80PARTAGES

1  0 
Certains doivent se souvenir de leur début difficile dans le domaine de la sécurité des applications web. Beaucoup ont surement dû jeter l’éponge trop tôt, à cause de la difficulté de configuration de l’environnement de tests des tutoriels. À titre d’exemple, capturer les requêtes HTTPS d’un navigateur à partir d’une solution comme Web Scarab n’est pas une tâche aussi simple qu’on pourrait le penser. Elle se déroule en plusieurs étapes, faisant intervenir la configuration d’un proxy ainsi que des certificats de sécurité. L’échec d’une seule de ces étapes conduit non seulement à un navigateur incapable d’ouvrir un site web, mais aucun trafic n’est non plus capturé par le logiciel de sécurité.

Simon Bennett, ingénieur en sécurité en fonction chez Mozilla et créateur de ZAP (Zed Attack Proxy), un fork de Paros Proxy (un logiciel dédié à la sécurité des applications web), propose un standard ouvert sous licence « Mozilla Public Licence 2.0 » pour simplifier les processus autour de la sécurité des applications web.

Ce nouveau standard, baptisé « Plug-n-Hack », définit comment les logiciels employés dans la sécurité web et les navigateurs doivent interagir de façon utile et exploitable. Pour revenir au cas de figure énoncé plus haut, concernant la mise en place de l’environnement de tests, Plug-n-Hack aurait épargné à plus d’un cette tâche ingrate, leur permettant de se concentrer uniquement sur l’essentiel : tester la sécurité des applications web.

Le standard a été conçu pour n’être lié à aucune solution de sécurité ou navigateur web particulier. Ce qui rend son intégration possible avec la multitude d’outils libres comme payants disponibles sur Internet.

Plug-n-Hack est encore en cours de développement. Firefox 24 et ZAP bénéficient de ses fonctionnalités. L’intégration du standard dans le logiciel BURP est à venir.


ZAP en action dans Firefox (intégration rendue possible par Plug-n-Hack)

Télécharger l'extension ZAP prenant en charge Plug-n-Hack

Source : blog Mozilla

Et vous ?

Vous reconnaissez-vous dans ces amateurs en sécurité qui ont éprouvé des difficultés à mettre en place des environnements de tests de sécurité d'applications web ?

Que pensez-vous de ce protocole ? Allez-vous l’adopter ?

Une erreur dans cette actualité ? Signalez-le nous !

1 commentaire
Commenter Signaler un problème
n5Rzn1D9dC
Avatar de n5Rzn1D9dC
Membre averti https://www.developpez.com
Le 27/08/2013 à 12:53
Pour voir les requêtes que le navigateur envoi aux sites, j'utilise httpfox. Il n'y a rien à configurer. Ca montre toutes les requêtes, http et https.
J'ai voulu tester pnh, mais il refuse de s'installer sous Iceweasel.
0  0