Sécurité : l'idée de l'attaque CSRF ! 

Merci beaucoup, ca me touche ! :) Oui, avec le recul que j'ai, je parviens quelques fois à faire des parallèles avec la vie de tous les jours pour expliquer les mécanismes. J'ai toujours pensé que le plus important n'était pas de "recopier" du code, mais de comprendre les mécanismes derrière :)

Merci pour ton retour et ta suggestion avisée ! 👏

Hello, ravi que la vidéo t'ait plu ! Bonne chance pour ton futur dans la sécurité informatique, c'est un choix passionnant !

Ravie que la clarté ait prévalu ici ! Si tu as d'autres questions, n'hésite pas. Merci pour tes encouragements !

Merci pour ton message et oui, grave ! Symfony fait pas mal de choses tout seul et en effet on le remercie x)

Hello, merci pour ton commentaire, ca me fait plaisir ! Oui, tu as tout bien compris ! :) J'essaie de faire la prévention en meme temps car finalement, ca compte aussi :D

Merci beaucoup ! J'essaie vraiment d'expliquer ces concepts pas très évidents en termes simples et je suis vraiment heureux que ca t'ait aidé ! :)

Merci beaucoup pour tes encouragements ! 🌟

Merci beaucoup pour ton message, ca me fait sourire lorsque j'arrive à aider des personnes !

@@certifacademy je me suis appuyé sur tes vidéo sur les failles de sécurités pour présenter mon projet de fin d'année, et j'ai obtenu ma certification donc merci a toi !!

Merci beaucoup pour ton commentaire, ca me fait chaud au coeur ! J'essaie d'aider les personnes avec ce que je sais et voir ton commentaire m'encourage, merci à toi ! :)

Yes, tu as tout bien compris du coup ! J'en suis heureux ! Alors en particulier, y'a pas de méthodes qu'on peut utiliser pour générer ce token CSRF, mais clairement, un uuid est une de ces méthodes, bien joué ! :)

Hello super question ! :) Alors, c'est un bon début, mais un hacker peut malheureusement changer le referer, donc on ne devrait pas s'appuyer dessus en termes de sécurité. D'ailleurs, certains navigateurs essayent de combattre ca (par exemple Safari ou Chrome), mais il existe énormément de navigateurs dans lequel on peut changer le referer :) Un hacker va souvent choisir ces navigateurs là :)

@@certifacademy top merci pour ta réponse !

Bien sûr, néanmoins ça vaut pour la plupart des sécurités ça : Si l'attaquant a un accès à la machine (soit via code malveillant soit physique comme dans ton exemple) faut partir du principe qu'aucune mesure de sécurité ne peut l'arrêter, c'est mort. Dans ton exemple tu peux aussi recopier le cookie de connexion de José pour pouvoir l'utiliser chez toi et te connecter sur son compte (session hijacking). Le token CSRF c'est efficace uniquement pour empêcher un site d'en attaquer un autre depuis ton navigateur, sans accès physique à ta machine et sans vulnérabilité lui permettant d'y exécuter du code en dehors de sa propre page.

Haha !! Merci pour ton commentaire et ca se voit que tu es une personne qui a vu mes autres vidéos haha ! Je te remercie pour ton message, c'est tellement gentil et ca me fait tellement plaisir ! :) Ce qui est top, c'est que Symfony vient déjà protégé ! En effet, à chaque fois que Symfony doit générer un formulaire, il place automatiquement un token CSRF :)

@@certifacademy plaisir partagé ! Oui j'ai suivi le blog book en intégralité et depuis lors mon niveau est passé de 2 à 7. Merci encore 🤠. J'attends avec impatience une autre playlist

@@certifacademy Un truc contre lequel Symfony ne protège pas nativement et qu'on voit malheureusement souvent c'est les opérations d'écriture déclenchées non pas par un formulaire (POST) mais par un clic sur un lien (GET). Par exemple suppression d'une donnée, voire suppression d'un compte entier. Par exemple si le site de José passe par GET pour supprimer des gâteaux et n'ajoute pas de token CSRF, tu peux tenter de faire cliquer José sur un lien bidon par email ou sur le site de voitures, lien qui en réalité déclenche la suppression de tel gâteau que tu n'aimes pas. Tu dois aussi pouvoir maquiller ça au cas où José a la présence d'esprit de regarder l'URL qui s'affiche en bas de son écran quand il passe la souris sur le lien : Tu fais un lien vers le site de voitures qui lorsqu'il est visité redirige vers l'URL de suppression.