Google Analytics, c'est moche, mais j'ai l'impression qu'on a encore rien vu, amha. Au taf, un fournisseur nous a présenté une "solution de sécurité" qui consiste a injecter via une appliance réseau placée en frontal d'un service web un code javascript qui permet d'obtenir un profil du client, ce profil est ensuite mouliné par de l'IA dans un cloud externe du fournisseur pour produire des règles de filtrage.
Perso, ça m'a mis un peu mal a l'aise. J'ai freiné des deux pied a mon niveau, mais bon....
Pour ce qui est des techniques d'évasion type noscript, etc , les commerciaux nous ont expliqué que leur technologie utilisé des technologies d'obsfuscation
"Shape’s Client Signals are collected by JavaScript that utilizes remarkably sophisticated obfuscation. Based on a virtual machine implemented in JavaScript with opcodes randomized at frequent intervals, this technology makes reengineering both extremely difficult and minimizes the window for exploitation. The obfuscation hides from attackers what signals Shape collects, leaving them groping in the dark to solve a complex multivariate problem."
Enfin, le problème, c'est aussi que perso j'y connais rien là-dedans, ce n'est ma spécialité. Et pourtant, je suis dans la boucle d'expertise et j'ai beau dire que je trouve ça immonde (enfin avec d'autres termes évidement), j'ai pas grand chose à opposer. Alors j'argumente sur les problèmes d'intégration, les failles à répétitions sur leur produits, la dépendance fournisseur et les couts de maintenance ...
Le problème, c'est que les décideurs sont flippé, on leur rabâche a longueur de médias que leur business est en danger (ce qui n'est pas faux en soit, c'est juste le fait que la trouille est mauvaise conseillère)
[^] # Re: Tu es une caricature du client chiant pour le plaisir sadique d'être chiant
Posté par Big Pete . En réponse au journal Question : Ai-je le droit de refuser d'exécuter un logiciel ?. Évalué à 10.
Google Analytics, c'est moche, mais j'ai l'impression qu'on a encore rien vu, amha. Au taf, un fournisseur nous a présenté une "solution de sécurité" qui consiste a injecter via une appliance réseau placée en frontal d'un service web un code javascript qui permet d'obtenir un profil du client, ce profil est ensuite mouliné par de l'IA dans un cloud externe du fournisseur pour produire des règles de filtrage.
https://www.shapesecurity.com/f5-device-idplus
Perso, ça m'a mis un peu mal a l'aise. J'ai freiné des deux pied a mon niveau, mais bon....
Pour ce qui est des techniques d'évasion type noscript, etc , les commerciaux nous ont expliqué que leur technologie utilisé des technologies d'obsfuscation
"Shape’s Client Signals are collected by JavaScript that utilizes remarkably sophisticated obfuscation. Based on a virtual machine implemented in JavaScript with opcodes randomized at frequent intervals, this technology makes reengineering both extremely difficult and minimizes the window for exploitation. The obfuscation hides from attackers what signals Shape collects, leaving them groping in the dark to solve a complex multivariate problem."
https://devcentral.f5.com/s/articles/What-is-Shape-Security
Enfin, le problème, c'est aussi que perso j'y connais rien là-dedans, ce n'est ma spécialité. Et pourtant, je suis dans la boucle d'expertise et j'ai beau dire que je trouve ça immonde (enfin avec d'autres termes évidement), j'ai pas grand chose à opposer. Alors j'argumente sur les problèmes d'intégration, les failles à répétitions sur leur produits, la dépendance fournisseur et les couts de maintenance ...
Le problème, c'est que les décideurs sont flippé, on leur rabâche a longueur de médias que leur business est en danger (ce qui n'est pas faux en soit, c'est juste le fait que la trouille est mauvaise conseillère)
https://www.bfmtv.com/economie/replay-emissions/hashtag-jmleco/la-cybersecurite-enjeu-incontournable-des-entreprises_AV-202103190002.html
Mais bon, si des développeurs web me lisent, intéressez vous a ce que fabriquent les admin réseau et sécu, quelque fois sans même vous en parler.
Faut pas gonfler Gérard Lambert quand il répare sa mobylette.