LINCnil/Guide-RGPD-du-developpeur

[Fiche 18] Mise à jour des sources (ANSSI/OWASP)

PewpewLlama opened this issue · 1 comments

PewpewLlama commented

Hello !

Plusieurs sources utilisées semblent avoir été mises à jour au courant de l'année sans que cela soit reflété dans le guide.

Pour la partie ANSSI :

  1. (Bug) Dans la partie "Bruteforce", la ressource "ANSSI : Recommandations de sécurité relatives aux mots de passe" est un lien vers l'ancien guide, qui a depuis été dé-publié,
    Page de présentation du guide le remplaçant (Avantage de cette page : le lien "Calculer la force d'un mot de passe")
    Le guide v2 (En bonus : la collaboration CNIL dans la v2 ;) )
  2. (Enhancement) Le guide utilisé dans les sources "ANSSI: Recommandations pour la sécurisation des sites web" a lui aussi été mis à jour. Le périmètre du guide a cependant été modifié. Ainsi, si la section concernant la prévention contre les attaques XSS s'en retrouve plus étoffée, celle concernant les SQLi a été laissée de côté, au profil d'un lien vers les cheatsheets de l'OWASP (lien aussi référencé dans la source de l'OWASP)
    À noter cependant : même si le guide a été mis à jour, les deux versions sont toujours présentées dans les bonnes pratiques : "Sécuriser un site web"
  3. (Feature/Enhancement) Dépréciation il y a quelques mois de toute la rubrique des "Notes d'information" du site du CERT-FR (Ce n'est pas en soi un problème, mais on pourrait imaginer une mention '(Non maintenu) CERT-FR: XXX' par soucis de clareté)

(Feature/Enhancement) Pour ce qui est de l'OWASP, il s'agit plus d'une question "de philosophie" que de réelle mise à jour des sources. La ressource concernant les SQLi vient du TOP10 2017; 4 ans après, elle fait toujours partie du TOP10 (2021), la mise à jour permettrait juste de rappeler que c'est toujours d'actualité (et aussi d'avoir une esthétique plus... moderne? du site source)

Merci pour tout le travail que vous avez fait et continuez à faire !

LaboCNIL commented

Bonjour et merci pour ces recommandations très précises!

Nous avons essayé de les prendre au maximum en compte dans nos dernières modifications. N'hésitez pas à nous proposer vos contributions sous la forme de pull request!