30 janvier 2019 - Il fait un froid glacial à Chicago aujourd'hui et, selon la météo, il fait encore plus froid qu'au mont Everest. C'est donc une journée parfaite pour rester dans un bâtiment chaud, s'asseoir devant votre machine et avoir un (désolé, le mauvais Everest). blague) sommet!

security summit google 1

L'équipe Joomla Security Strike (JSST) a été invitée à envoyer une délégation au CMS Security Summit, organisé par Google et se déroulant à Chicago. L'équipe JSST, dirigé par David Jardin et Tobias Zulauf, a saisi cette opportunité et ils se sont rendus dans l'Illinois pour rencontrer les responsables de la sécurité d'autres systèmes de gestion système (CMS), des hébergeurs Web et, bien sûr, un groupe de Googlers représentant divers projets et initiatives de la société.

Rencontrer face à face des membres d'autres systèmes de gestion de contenu (notamment WordPress, TYPO3 et Drupal) et d'autres acteurs de notre écosystème (tels que Symfony’s Security Lead) a été une expérience extrêmement précieuse pour nous. Dans le domaine de la sécurité informatique, le travail repose sur la «confiance» de différentes manières. Par conséquent, rencontrer des spécialistes de la sécurité, établir des relations personnelles et créer ce type de confiance sera extrêmement utile à l'avenir pour la communication entre projets.

security summit google 2

Outre ces résultats plutôt «implicites», nous avons également identifié divers problèmes concrets qui nous concernent tous et dans lesquels une collaboration entre projets serait très bénéfique :

  • Filtrage des problèmes de sécurité côté serveur en coopération avec les hôtes Web
  • Construire des projets favorables au CSP pour prévenir les attaques XSS
  • Implémentation des fonctionnalités de sécurité les plus récentes intégrées dans les navigateurs, telles que la stratégie des fonctionnalités pour désactiver des fonctionnalités spécifiques des navigateurs que votre site n'utilise pas
  • Utilisation des cookies SameSite
  • Démarrage d'une initiative sur les conditions requises pour un mécanisme de mise à jour automatique sécurisé
  • Faire progresser les normes sectorielles telles que PSR-9 (Avis de sécurité) et PRS-10 (Processus de rapport de sécurité)
  • Jetez un coup d'œil à la proposition TrustedTypes, qui aiderait également à prévenir les attaques XSS.

Dans l’ensemble, c’était un bon événement et un très bon point de départ pour renforcer la sécurité de tous nos utilisateurs et renforcer la collaboration intersectorielle en matière de sécurisation du Web.

Nous voudrions remercier Google pour son invitation et son organisation parfaite, ainsi que les autres participants pour un si grand sommet avec de nombreuses discussions enrichissantes et positives. Nous attendons avec impatience d'autres événements similaires et une collaboration intersectorielle avantageuse pour tous nos utilisateurs.

   
Laisser un commentaire

La soumission de commentaires est réservée aux adhérents de l'AFUJ. Merci de vous connecter pour soumettre un commentaire.

Connexion

Ce site utilise des cookies pour vous offrir le meilleur service.

En poursuivant votre navigation, vous acceptez l’utilisation de cookies sur ce site. En savoir plus

J'ai compris