L’homme qui hululait à l’oreille des formulaires – 24 jours de web

En résumé

  • Contrôler la validité des champs avec trop d’enthousiasme : difficile de prendre en compte les spécificités de tout le monde...
  • Abuser de la validation côté client : éviter les situations bloquantes.
  • Imposer des contraintes fantaisistes sur les mots de passe : privilégier la longueur des mots de passe plutôt que leur complexité.
  • Obliger l’internaute à nettoyer lui-même ses données : privilégier le nettoyage côté serveur avant stockage.
  • Confondre les attributs labels et placeholder : label = nom du champ, placeholder = exemple de saisie
  • Recueillir des informations non-conformes : Moins on recueille d’informations sur l’utilisateur, mieux tout le monde se porte.
  • Obliger à utiliser la souris pour saisir des mots de passe
  • Ré-inventer des composants de formulaire : accessibilité ? compatibilité ? javascript bloqué ?
  • Reporter la complexité du processus sur l’utilisateur·ice : ex, les mini formulaires enchainés. Solution: proposer une alternative

Commandes GNU/Linux pour détecter une intrusion - Net-Security

En ultra résumé

  • w & who pour savoir qui est connecté,
  • last & lastb pour savoir qui a été connecté,
  • history (lancé depuis l'utilisateur à vérifier : su username) pour voir les traces laissées,
  • less /etc/passwd et cat /etc/passwd pour vérifier si on n'a pas créé un utilisateur à l'arrache,
  • ps et top pour vérifier s'il n'y a pas un processus malveillant,
  • ss & netstat pour vérifier les faiblesses réseau,
  • ip
  • crontab pour vérifier si une tâche cron n'est pas lancée régulièrement
  • find / -mtime -5 -ctime -5 pour vérifier les fichiers modifiés récemment,
  • cat /var/log/syslog, cat /var/log/syslog | less, tail -f -n 5 /var/log/syslog, cat /var/log/syslog | grep fail, tail -f /var/log/syslog pour les logs
    Via https://shaarli.sebw.info/?aU81yg
Fil RSS des articles