-
The Copenhagen Book
- The Copenhagen Book est un projet open source gratuit qui fournit des recommandations générales pour implémenter l’authentification dans les applications web
- Il est maintenu par la communauté et, bien qu’il puisse parfois être subjectif ou incomplet, il vise à combler les lacunes des ressources en ligne
- Il est recommandé de l’utiliser avec l’OWASP Cheat Sheet Series
-
Jetons côté serveur
- Explique comment renforcer la sécurité en gérant les jetons côté serveur
-
Sessions
- Explique comment maintenir un état d’authentification persistant grâce à la gestion des sessions utilisateur
-
Authentification par mot de passe
- Fournit des recommandations liées à une authentification par mot de passe sécurisée
-
Authentification par e-mail
- Explique la procédure d’authentification des utilisateurs par e-mail
-
Réinitialisation du mot de passe
- Explique comment implémenter une fonctionnalité de réinitialisation du mot de passe
-
Génération de valeurs aléatoires
- Explique comment générer les valeurs aléatoires nécessaires à la sécurité
-
OAuth
- Explique comment implémenter l’authentification à l’aide du protocole OAuth
-
Authentification multifacteur (MFA)
- Explique comment renforcer la sécurité grâce à la MFA
-
WebAuthn
- Explique comment implémenter l’authentification web à l’aide de WebAuthn
-
Falsification de requête intersites (CSRF)
- Explique comment prévenir les attaques CSRF
-
Redirection ouverte
- Explique comment prévenir les vulnérabilités de redirection ouverte
-
Chiffrement
- Explique comment protéger les données à l’aide de techniques de chiffrement
-
ECDSA
- Explique comment implémenter des signatures numériques avec l’algorithme ECDSA
-
Liens
- Fournit le dépôt GitHub, Twitter, l’OWASP Cheat Sheet Series et un lien de don
Résumé de GN⁺
- The Copenhagen Book fournit des recommandations complètes sur l’implémentation de l’authentification dans les applications web, ce qui en fait une ressource utile pour les développeurs
- Il couvre diverses méthodes d’authentification et techniques de renforcement de la sécurité, aidant à mieux comprendre les enjeux de sécurité
- Son utilisation avec l’OWASP Cheat Sheet Series le rend encore plus efficace et peut contribuer à prévenir les vulnérabilités de sécurité
- Parmi les projets similaires, on trouve diverses recommandations d’OWASP ainsi que les préconisations de sécurité du NIST
1 commentaires
Commentaire sur Hacker News
L’auteur de la bibliothèque Lucia estime que Lucia n’est plus adaptée à l’implémentation de l’authentification et a donc publié une série de guides pour la remplacer
90 % des ressources sur la sécurité sont difficiles à comprendre pour les non-spécialistes, mais ce guide est clair, concis et applicable
Beaucoup de conseils de sécurité paraissent obscurs et parfois même absurdes, mais ce guide propose des conseils rafraîchissants et faciles à comprendre
Ce serait bien de préciser si « auth » signifie authentification (authn) ou autorisation (authz)
Il est frappant qu’il soit mentionné que UUIDv4 possède beaucoup d’entropie, mais peut ne pas être cryptographiquement sûr
Les mots de passe devraient faire au moins 8 caractères, et il faudrait utiliser une bibliothèque comme zxcvbn pour détecter les mots de passe faibles
Quelqu’un sait pourquoi cela s’appelle « Copenhagen Book » ?
Une fois l’authentification implémentée, on peut l’utiliser partout
J’aimerais que les sites web proposent une option permettant de « ne pas faire expirer la session avant la déconnexion »
Excellent guide, merci