Hello, merci pour ta vidéo. J'aimerai comprendre/m'assurer d'une chose. Le token csrf n'est utile que dans le cadre d'une connexion via cookie de session? Pour les système de jwt c'est inutile ?
le CSRF c'est surtout pour les applications côté serveur non? Si j'ai une SPA, mon JWT est stocké dans le localStorage, le localStorage est lié normalement à un domain. Les SPA sont donc naturellement prémunies contre le CSRF ou existe il toute de même une vulnérabilité au CSRF pour les SPA ?
j'ai une préoccupation ,je développe une application web dans laquelle je fais des demandes en AJAX ,vu que les informations récupérées du serveurs s'affiche en claire j'aimerais savoir s'il y a une possibilité de les chiffrer
Ah génial, je ne connaissais pas la conf session.cookie_samesite=Lax dans php.ini. Je viens de l'ajouter. Merci beaucoup. Jusqu'à présent, je n'avais qu'un Middleware dans Slim.
Je suis pas sûr de bien comprendre. Dans le cadre du token csrf, le pirate n’a pas pu effectuer la modification ok mais il atterrit sur la page de gestion de profil de sa cible. À ce moment là ne peut-il pas modifier le nom du compte ? Le token n’est-il pas généré au moment où le hacker accède à la page de sa cible?
J'ai peut être mal expliqué l'attaque à la base. L'objectif de l'attaquant est de faire cliquer l'utilisateur sur le lien, c'est donc l'utilisateur qui va se retrouver sur sa page "compte" avec l'erreur "token invalide". N'hésite pas à me dire si c'est plus clair.
@@grafikart ah mais c’est bien sûr 💡!!! Non non maintenant que tu me le dis c’était bien expliqué c’est juste moi qui me suit emmêlé les pinceaux 🙃! Merci d’avoir pris le temps de me répondre! Et merci pour toutes tes vidéos très instructives 👍!
Petite précision le same site none peut servir à l’intersite. Et nécessite secure=true pour forcer le https. J’aimerais bien savoir comment on génère un CSRF avec next un back qu’on ne maîtrise peut être pas totalement directement comme medusa ou directus.
Jai une question un peut stupide mais je me pose beaucoup de questions alors svp je veux des réponses. Jai appris les base de php, apres jai apris symfofny et Laravel et je suis rester sur Laravel, la question c'est de savoir, a quel moment code un site sans Laravel
J'ai une préoccupation, en tant que Développeur FrontEnd (React, VueJS, etc..) lordqu'on implemente des vues on comment se prémunir contre ce genre d'attaque ?
C’est ton backend qui doit interdire de recevoir des requêtes qui viennent d’un site qui n’est pas le tien, ça n’a rien à voir avec du code React ou le front de ton service.
Merci merci mais pourquoi mon navigateur envoi des cookies a des site qui ne sont pas les même aussi en plus comment le piratage devine URL auquel mon navigateur envoi ces cookies merci d'avance
J'adore ces nouvelles vidéos sur la sécurité. Un résumé de toute les vérifications à faire avant la mise en ligne d'un projet. Merci!
merci beaucoup pour cette série, merci depuis le RDC
Je kiff cette nouvelle série de sécurité!
Salut Jonathan, j'ai beaucoup aimé la vidéo merci ! Je viens jst de débuter mon cours de sécurité à la fac !!!!
Merci beaucoup pour la vidéo, cette série est vraiment instructive. Aurons nous une vidéo sur le chiffrement de bout en bout ?
Hello, merci pour ta vidéo. J'aimerai comprendre/m'assurer d'une chose. Le token csrf n'est utile que dans le cadre d'une connexion via cookie de session? Pour les système de jwt c'est inutile ?
Très claire, merci beaucoup! quelle méthode est la plus sécurisé? en utilisant same-site:lax ou le token csrf?
Merci 😮
le CSRF c'est surtout pour les applications côté serveur non? Si j'ai une SPA, mon JWT est stocké dans le localStorage, le localStorage est lié normalement à un domain. Les SPA sont donc naturellement prémunies contre le CSRF ou existe il toute de même une vulnérabilité au CSRF pour les SPA ?
Perfect
salut symfony les gere de base non ?
Oui oui
j'ai une préoccupation ,je développe une application web dans laquelle je fais des demandes en AJAX ,vu que les informations récupérées du serveurs s'affiche en claire j'aimerais savoir s'il y a une possibilité de les chiffrer
dans la requête il y a aussi origin qui pointe a pirate, on peut pas bloquer ce de l'extérieur ?
Ah génial, je ne connaissais pas la conf session.cookie_samesite=Lax dans php.ini. Je viens de l'ajouter. Merci beaucoup. Jusqu'à présent, je n'avais qu'un Middleware dans Slim.
Svp vous développer des site internet sans framework ?
Je suis pas sûr de bien comprendre. Dans le cadre du token csrf, le pirate n’a pas pu effectuer la modification ok mais il atterrit sur la page de gestion de profil de sa cible. À ce moment là ne peut-il pas modifier le nom du compte ? Le token n’est-il pas généré au moment où le hacker accède à la page de sa cible?
De ce que j'ai compris, il va arriver sur un formulaire de connexion basique et commun à tout utilisateurs
J'ai peut être mal expliqué l'attaque à la base.
L'objectif de l'attaquant est de faire cliquer l'utilisateur sur le lien, c'est donc l'utilisateur qui va se retrouver sur sa page "compte" avec l'erreur "token invalide". N'hésite pas à me dire si c'est plus clair.
@@grafikart ah mais c’est bien sûr 💡!!! Non non maintenant que tu me le dis c’était bien expliqué c’est juste moi qui me suit emmêlé les pinceaux 🙃! Merci d’avoir pris le temps de me répondre! Et merci pour toutes tes vidéos très instructives 👍!
alors je ne sais pas si c'est normal, mais le site n'existe plus ou n'affiche plus ses pages :(
Lequel ?
Petite précision le same site none peut servir à l’intersite. Et nécessite secure=true pour forcer le https.
J’aimerais bien savoir comment on génère un CSRF avec next un back qu’on ne maîtrise peut être pas totalement directement comme medusa ou directus.
La miniature m’empêche de dormir
Qui regarde pendant les révisions du BTS SIO SLAM ? 😂😂
Il reste 14 jours ….
@@KingBechir-rj3nw haha ça arrive trop vite 😭😭. Bonne chance en tout cas faut tout donner
Jai une question un peut stupide mais je me pose beaucoup de questions alors svp je veux des réponses. Jai appris les base de php, apres jai apris symfofny et Laravel et je suis rester sur Laravel, la question c'est de savoir, a quel moment code un site sans Laravel
Vive Laravel les amis!
...et vive symfony
Laravel > all
J'ai une préoccupation, en tant que Développeur FrontEnd (React, VueJS, etc..) lordqu'on implemente des vues on comment se prémunir contre ce genre d'attaque ?
C’est ton backend qui doit interdire de recevoir des requêtes qui viennent d’un site qui n’est pas le tien, ça n’a rien à voir avec du code React ou le front de ton service.
@@Chimerion86 je me disais aussi, merci pour ta réponse !
Grafikart est-il possible de faire une série java et spring boot?
Merci merci mais pourquoi mon navigateur envoi des cookies a des site qui ne sont pas les même aussi en plus comment le piratage devine URL auquel mon navigateur envoi ces cookies merci d'avance
Merci Jonathan, je débute Laravel et je me demandais à quoi correspondait le @crsf, tu réponds à ma question de manière limpide.