Sécurité des services et applications Web

7 livres et 8 critiques, dernière mise à jour le 20 août 2018 , note moyenne : 4.4

  1. Les annuaires LDAP - Les annuaires LDAP, méta-annaires et e-provinionning
  2. Les IDS - Les systèmes de détection d'intrusions informatiques
  3. Réseaux sécurisés à 200%
  4. Sécurité des architectures web - Ne pas prévoir, c'est déjà gémir
  5. Sécurité des réseaux - Applications et standards
  6. SOA Security
  7. SSL VPN - Accès web et extranets sécurisés
couverture du livre Les annuaires LDAP

Note 5 drapeau
Détails du livre
Sommaire
Critiques (2)
0 commentaire
 
 

Les annuaires LDAP

Les annuaires LDAP, méta-annaires et e-provinionning

de
Public visé : Débutant

Résumé de l'éditeur

Les annuaires sont présents dans les systèmes d'information de toutes les entreprises. Ils sont la clé de voûte de l'organisation en réseau, permettant de gérer les accès aux ressources matérielles ou aux fichiers. Le protocole LDAP (Lightweight Directory Access Protocol) est devenu le standard en la matière assurant des connexions jusqu'alors impossibles entre des annuaires de provenances différentes. Ce livre se veut à la fois didactique et pratique. Les auteurs ont rédigé l'ouvrage qu'ils auraient aimé trouver quand ils ont commencé leurs premiers projets avec les annuaires LDAP. Des compléments en ligne sont accessibles sur le site annuairesldap.com, créé et actualisé par les auteurs.

Édition : Dunod - 334 pages , 2eédition, 1er juin 2004

ISBN10 : 2100483951 - ISBN13 : 9782100483952

Commandez sur www.amazon.fr :

33.25 € TTC (prix éditeur 35.00 € TTC) livraison gratuite !
  1. Comprendre et maîtriser LDAP
    1. Les annuaires d'entreprise
    2. Le modèle de données LDAP
    3. Protocole, modèle fonctionnel et modèle de sécurité
  2. Accéder aux annuaires
    1. LDAP et Java
    2. Les autres APIs (Notamment Perl et ADSI)
    3. Interfaces (LDIF, DSML)
  3. Exploiter les annuaires
    1. Les serveurs LDAP
    2. Les outils d'administration
    3. LDAP applications
  4. Annuaires d'entreprise : implémentation
    1. Distribution, réplication
    2. Concevoir un annuaire
    3. Intégration d'annuaires : méta-annuaires et e-provisionning


Critique du livre par la rédaction cyberzoide le 26 février 2005
Les auteurs ont à coeur de nous expliquer l'historique et le contexte économique et technique de l'avènement du système d'annuaire LDAP et de son père X.500, ceci permet de mieux cerner le potentiel et les fonctionnalités de LDAP. Les auteurs sont d'excellents vulgarisateurs. Ils décrivent la norme, mais aussi et surtout les usages, les recommandations et les bonnes pratiques du déploiement d'un annuaire LDAP. Les fonctionnalités comparées des outils du marché nous donne un bon aperçu des moyens à notre disposition pour la création, le déploiement et l'administration d'un annuaire. Les concepts présentés sont toujours accompagnés d'exemples parlants.

Cet ouvrage est le parfait manuel du DSI désirant déployer une solution d'annuaire dans son entreprise. Les processus de gestion, les actions stratégiques, les analyses métiers et techniques indispensables à cette mise en oeuvre sont ici très clairement décrites. Tout est dit pour assurer une interopérabilité et une cohérence maximale des données. Toujours avec le soucis de l'exactitude sans pour autant noyer le lecteur dans des détails complexes, les auteurs s'emploient à transmettre les méthodes et les process permettant au lecteur de s'approprier la technologie des annuaires LDAP. La stratégie consistant à justifier les choix historiques permet à coup sûr au lecteur d'appréhender sans difficulté l'univers LDAP.

Une description claire des modèles des données, du protocole LDAP, des modèles fonctionnels et de sécurité assortis de nombreux exemples et méthodologies éprouvées offrent aux lecteur un panorama très complet de la technique. Tous les aspects sont abordés : conception, réalisation, sécurisation, développement, interfaces etc. Notamment les dernières évolutions de la technique comme par exemple les échanges de données reposants sur le XML (format DSML véhiculé par SOAP). Cette deuxième édition inclut notamment du code C Sharp pour une interrogation d'un annuaire LDAP via le framework .NET. De plus, le détail de l'installation, de la configuration et de l'usage des principaux outils du marché (dont OpenLDAP) permet au lecteur de prendre en main facilement un annuaire LDAP.

Bref, des conseils pertinents permettant aux responsables informatiques de mettre en oeuvre en toute sécurité un annuaire LDAP performant et cohérent dans un contexte distribué.
Critique du livre par la rédaction Petrus le 26 février 2005
Mon premier livre des éditions Dunod "InfoPro", et j'en suis trés satisfait. D'un point de vue pré-requis, il est inutile d'être un développeur confirmé: le livre s'attache principalement à présenter LDAP, son protocole, ses objectifs, ses avantages et inconvénients, les outils du marché, et ne développe que trés légèrement le coté programmation (qui est parfois trop lourd dans d'autres ouvrages). Les auteurs s'adressent donc aux décideurs, architectes, et développeurs, et quelques notions de base d'architecture logicielle et protocolaire sont nécessaires.

Bien souvent, on a entendu parler de LDAP, mais on a jamais eu vraiment l'occasion de s'y intéresser ou de s'appuyer sur ce système d'annuaires. Mr Cloux et Corvalan présentent donc un petit historique, un survol des caractéristiques techniques des annuaires, des différents standards, puis on enchaîne directement (Chap 2.) avec l'étude détaillée et fort bien expliquée de la structure d'un annuaire LDAP (notions de DIT, DSE, URL LDAP, schéma, OID, attributs, syntaxes, classes d'objets). Les différents paragraphes se succèdent très logiquement et sont illustrés par de nombreux schémas, workflows, diagrammes.

Le chapitre 3 est consacré à la description du protocole LDAP en lui-même et non plus à la structure d'un annuaire, on y aborde des sujets tels que le binding, les fonctions implémentées, les modèles de sécurité (TLS, SSL). Pour les développeurs, 2 chapitres sont consacrés à la présentation d'exemples de connexions et d'opérations sur LDAP avec differents langages et API( Java, JLDAP, DSDK, Mozilla::LDAP, Microsoft SDS...).

Précédé d'explications sur les interfaces (import/export, standard XML) pour LDAP LDIF et DSML, une étude des implémentations serveurs et des outils LDAP est réalisée avec entre autre, Sun Java System Directory Server, IBM Tivoli Directory Server, OpenLDAP, AD et AD/AM, les browsers LDAP comme Calendra ou IPlanet, les clients de messageries, le solutions pour SSO (Single Sign On), Tomcat. Enfin les deux derniers chapitres détaillent les procédés de réplication et de distribution des annuaires LDAP en milieu hétérogènes, et l'intégration des annuaires avec les méta-annuaires et l'e-provisioning.

Il est important de souligner que dans cet ouvrage, à mes yeux assez complet, un gros travail d'étude des RFC de l'ancêtre X.500, de LDAP et des drafts satellites a été fourni et aidera le lecteur à comprendre les différents niveaux de conformité des éditeurs de solutions LDAP et les évolutions futures à envisager.




 Poster une réponse Signaler un problème

Avatar de ram-0000 ram-0000 - Rédacteur https://www.developpez.com
le 31/03/2013 à 16:54
Les annuaires LDAP - Meta annuaires et e-provisioning

Les annuaires sont présents dans les systèmes d'information de toutes les entreprises. Ils sont la clé de voûte de l'organisation en réseau, permettant de gérer les accès aux ressources matérielles ou aux fichiers. Le protocole LDAP (Lightweight Directory Access Protocol) est devenu le standard en la matière assurant des connexions jusqu'alors imposssibles entre des annuaires de provenances différentes. Ce livre se veut à la fois didactique et pratique. Les auteurs ont rédigé l'ouvrage qu'ils auraient aimé trouver quand ils ont commencé leurs premiers projets avec les annuaires LDAP. Des compléments en ligne sont accessibles sur le site fr annuairesldap.com, créé et actualisé par les auteurs.

Avez-vous lu ce livre, pensez-vous le lire ?

 
couverture du livre Les IDS

Note 5 drapeau
Détails du livre
Sommaire
Critiques (1)
0 commentaire
 
 

Les IDS

Les systèmes de détection d'intrusions informatiques

de
Public visé : Expert

Résumé de l'éditeur

Fraude à la carte bancaire, cyberguerre, script-kiddies, pirates du Wi-Fi, dénis de services, virus polymorphes... Il ne se passe plus une semaine sans que les médias ne révèlent de nouvelles attaques concernant telle entreprise ou organisation, se faisant pirater, voler des informations vitales ou détourner son site Web. Malheureusement les systèmes antivirus ou les firewalls sont la plupart du temps inefficaces face à ces nouvelles menaces sophistiquées, dont la propagation peut s'avérer extrêmement rapide. C'est pour pallier ce manque que sont apparus récemment des nouveaux composants de sécurité appelés systèmes de détection et de prévention des intrusions. Cet ouvrage a pour objectif de vous fournir tous les éléments techniques, organisationnels et juridiques vous permettant de comprendre comment utiliser et exploiter un IDS de manière optimale. Ce livre peut être lu par toute personne disposant de connaissances minimales dans le domaine des réseaux IP et des différents protocoles utilisés pour échanger des informations entre systèmes : administrateur système ou réseaux, directeur informatique, RSSI, étudiant... Il peut également constituer une base de réflexion pour les experts en sécurité qui ont la charge de valider ou exploiter des solutions de gestion des intrusions.

Édition : Dunod - 261 pages , 1re édition, 1er février 2004

ISBN10 : v - ISBN13 : 9782100072576

Commandez sur www.amazon.fr :

30.40 € TTC (prix éditeur 32.00 € TTC) livraison gratuite !
  1. Rappels essentiels concernant les protocoles
  2. Pirates et intrusions
  3. Etudes des principaux types d'attaques
  4. Petit historique de la détection des intrusions
  5. Classifications des systèmes
  6. Méthodes de détection
  7. Les problématiques techniques
  8. IDS et normalisation
  9. Les techniques anti-IDS
  10. Méthodologie de conduite d'un projet de détection des intrusions
  11. Présentation de quelques solutions du marché
  12. Les aspects économiques et juridiques de la détection d'intrusion
Critique du livre par la rédaction cyberzoide le 26 février 2005
C'est un ouvrage d'une grande richesse qui présente tous les aspects de la prévention des intrusions : aspects techniques, économiques, organisationnels et juridiques. Après sa lecture, tout ingénieur système ou responsable informatique devient conscient de l'état des menaces qui planent sur leur système d'information. Les solutions possibles pour prévenir les intrusions ainsi que leurs limites sont présentés ici avec beaucoup de pédagogique et à force d'exemples concrets.

Après une phase de rappel des failles des principaux protocoles de base (TCP, IP, UDP, ICMP), l'auteur revient sur les motivations des pirates et leurs méthodes. Ensuite, il présente les principaux types d'attaques et se propose de classifier les différents outils de prévention et de détection des intrusions. Il explique pas à pas le fonctionnement de ces systèmes et en montre les limites. La présentation des évolutions futures de ces outils montre à quel point cette thématique de la sécurité des systèmes n'en est qu'à ses balbutiements. L'auteur, qui a l'expérience de la mise en œuvre de tels outils, présente au lecteur une méthodologie de conduite d'un projet d'intégration d'un IDS : que ce soient les écueils à éviter ou les critères de choix parmi les solutions du marché.




 Poster une réponse Signaler un problème

Avatar de forum forum - Robot Forum https://www.developpez.com
le 03/06/2014 à 22:34
Les IDS
Les systèmes de détection d'intrusions informatiques
Fraude à la carte bancaire, cyberguerre, script-kiddies, pirates du Wi-Fi, dénis de services, virus polymorphes... Il ne se passe plus une semaine sans que les médias ne révèlent de nouvelles attaques concernant telle entreprise ou organisation, se faisant pirater, voler des informations vitales ou détourner son site Web. Malheureusement les systèmes antivirus ou les firewalls sont la plupart du temps inefficaces face à ces nouvelles menaces sophistiquées, dont la propagation peut s'avérer extrêmement rapide. C'est pour pallier ce manque que sont apparus récemment des nouveaux composants de sécurité appelés systèmes de détection et de prévention des intrusions. Cet ouvrage a pour objectif de vous fournir tous les éléments techniques, organisationnels et juridiques vous permettant de comprendre comment utiliser et exploiter un IDS de manière optimale. Ce livre peut être lu par toute personne disposant de connaissances minimales dans le domaine des réseaux IP et des différents protocoles utilisés pour échanger des informations entre systèmes : administrateur système ou réseaux, directeur informatique, RSSI, étudiant... Il peut également constituer une base de réflexion pour les experts en sécurité qui ont la charge de valider ou exploiter des solutions de gestion des intrusions.

[Lire la suite]




 
couverture du livre Réseaux sécurisés à 200%

Note 3 drapeau
Détails du livre
Sommaire
Critiques (1)
0 commentaire
 
 

Réseaux sécurisés à 200%

de

Résumé de l'éditeur

Veiller à la sécurité des réseaux informatiques que l'on administre est devenu aujourd'hui une tache aussi complexe qu'indispensable. Heureusement, l'expérience et les connaissances acquises dans ce domaine, ainsi que le développement d'excellents outils spécialisés (et souvent gratuits), viennent en aide à l'administrateur dans sa lutte permanente contre les mille et unes menaces qui planent sur l'intégrité de ses serveurs.

Si la littérature sur le sujet est abondante et variée, ici l'approche est originale : il s'agit davantage d'un livre de "recettes" (d'un niveau de difficulté variable), que d'un ouvrage purement didactique. Précisons toutefois qu'une bonne connaissance des systèmes Unix/Linux (et dans une moindre mesure des systèmes Windows), ainsi que de TCP/IP est fortement requise.

Édition : O'Reilly - 298 pages , 1er octobre 2004

ISBN10 : 2841772675 - ISBN13 : 9782841772674

Commandez sur www.amazon.fr :

37.05 € TTC (prix éditeur 39.00 € TTC) livraison gratuite !
  • Chapitre 1. Sécurité d'une machine Unix
  • Chapitre 2. Sécurité d'une machine Windows
  • Chapitre 3. Sécurité du réseau
  • Chapitre 4. Journalisation
  • Chapitre 5. Surveillance et tendance
  • Chapitre 6. Tunnels sécurisés
  • Chapitre 7. Détection d'intrusion réseau
  • Chapitre 8. Reprise et réponse
  • Index
Critique du livre par la rédaction armatatuxa le 1er octobre 2004
Voici donc "100 trucs, secrets et techniques" (ou plus sobrement "hacks" en version originale) à adapter à votre contexte et à vos besoins spécifiques. Le plus souvent, le "hack" explique et détaille, par l'exemple, l'utilisation d'un logiciel spécialisé (nmap, snort, nessus, etc), ou d'un composant du système (droits et permissions, shell scripting, journalisation...). La plupart de ces hacks concernent les systèmes Unix/Linux, mais les systèmes Windows ne sont pas oubliés pour autant, et le lecteur apprendra qu'il est possible de rendre ces derniers à peu près sûrs... et comment le faire, bien entendu.

Pour conclure, Réseaux sécurisés à 200% est un ouvrage très bien conçu, et qui recèle, pour l'administrateur réseau soucieux de sécurité, une mine de renseignements et d'astuces très professionnels à mettre en pratique au quotidien.




 Poster une réponse Signaler un problème

Avatar de forum forum - Robot Forum https://www.developpez.com
le 03/06/2014 à 22:34
Réseaux sécurisés à 200%
Veiller à la sécurité des réseaux informatiques que l'on administre est devenu aujourd'hui une tache aussi complexe qu'indispensable. Heureusement, l'expérience et les connaissances acquises dans ce domaine, ainsi que le développement d'excellents outils spécialisés (et souvent gratuits), viennent en aide à l'administrateur dans sa lutte permanente contre les mille et unes menaces qui planent sur l'intégrité de ses serveurs.

Si la littérature sur le sujet est abondante et variée, ici l'approche est originale : il s'agit davantage d'un livre de "recettes" (d'un niveau de difficulté variable), que d'un ouvrage purement didactique. Précisons toutefois qu'une bonne connaissance des systèmes Unix/Linux (et dans une moindre mesure des systèmes Windows), ainsi que de TCP/IP est fortement requise.

[Lire la suite]




 
couverture du livre Sécurité des architectures web

Note 4.5 drapeau
Détails du livre
Sommaire
Critiques (1)
0 commentaire
 
 

Sécurité des architectures web

Ne pas prévoir, c'est déjà gémir

de
Public visé : Intermédiaire

Résumé de l'éditeur

Le propos de cet ouvrage est de présenter un large éventail de solutions de sécurisation des architectures web ainsi que leur mise en oeuvre. L'accent est mis sur les applications développées avec les environnement J2EE et .Net, qui sont les plus utilisés actuellement sur les projets d'envergure touchant les systèmes d'information. Les auteurs dressent la liste des bonnes questions à se poser concernant la politique de sécurité lors de la mise en place d'une architecture web et fournissent des réponses concrètes. Les sujets abordés vont des environnements de développement et des organisations projet jusqu'aux infrastructures matérielles.

La sécurité des architectures Web n'est pas seulement l'affaire des responsables réseaux ou des hébergeurs. Elle doit être pensée et mise en ?uvre très tôt, dès la conception des applications. L'objectif de cet ouvrage est de fournir un état de l'art des méthodes et outils de sécurisation des architectures Web. Construit en sept parties, il aborde successivement : - les notions de base de la cryptographie et leur mise en ?uvre (algorithmes et protocoles), - la méthodologie à appliquer au cours du projet pour traiter la sécurité, - les caractéristiques techniques des architectures Web, et notamment leurs vulnérabilités, - les différents systèmes de sécurisation (logiciels et équipements), - les composants de sécurité offerts par la plate-forme J2EE, illustrés par des exemples concrets, - une présentation similaire de l'environnement Microsoft NET, - une illustration de ces différents concepts dans des études de cas concrètes. Cet ouvrage s'adresse avant tout aux architectes, chefs de projets et développeurs. Les responsables informatiques et les maîtrises d'ouvrages y trouveront des éléments pour mieux aborder les problématiques de sécurité dans leurs projets.

Édition : Dunod - 496 pages , 1er juin 2004

ISBN10 : 2100073540 - ISBN13 : 9782100073542

Commandez sur www.amazon.fr :

37.91 € TTC (prix éditeur 39.90 € TTC) livraison gratuite !
  • Les fondamentaux et standards de la sécurité
  • Démarche sécurité pour les projets Web
  • Architecture des applications Web
  • Les systèmes de sécurisation des architectures Web
  • Sécurité en environnement J2EE
  • Sécurité en environnement
  • Etudes de cas
Critique du livre par la rédaction cyberzoide le 10 janvier 2005
Cet ouvrage sur la sécurité est d'une incroyable densité. En moins de 500 pages quasiment tout ce que compte les architectures web comme dispositifs de sécurité est passé en revue.

Il débute avec une piqûre de rappel sur les fondamentaux de la sécurité avec notamment la cryptographie, les méthodes d'analyse des risques et les principales architectures reconnues. Avec force d'exemples et d'arguments chocs, la valeur pédagogie de ce livre est incontestable.

Les procédés techniques de la sécurité mais aussi les méthodologies et bonnes pratiques de développement sont passées en revue. On notera l'attachement des auteurs à décortiquer les limites en terme de sécurité de tous les dispositifs mise en place dans une architecture web.

Les auteurs ont réalisé un énorme travail de compilation de tous les aspects à prendre en compte lors de la création d'une architecture web. Un large éventail de conseils sont ainsi prodigués à l'attention de tous les acteurs d'un projet web : administrateur de base de données, développeur, ingénieur réseau, responsable qualité, chef de projet...

Les chefs de projets web J2EE et .NET trouveront ici matière à inspirer de bonnes pratiques de sécurité.




 Poster une réponse Signaler un problème

Avatar de zoom61 zoom61 - Rédacteur https://www.developpez.com
le 03/06/2014 à 22:33
Sécurité des architectures web
Ne pas prévoir, c'est déjà gémir
Le propos de cet ouvrage est de présenter un large éventail de solutions de sécurisation des architectures web ainsi que leur mise en oeuvre. L'accent est mis sur les applications développées avec les environnement J2EE et .Net, qui sont les plus utilisés actuellement sur les projets d'envergure touchant les systèmes d'information. Les auteurs dressent la liste des bonnes questions à se poser concernant la politique de sécurité lors de la mise en place d'une architecture web et fournissent des réponses concrètes. Les sujets abordés vont des environnements de développement et des organisations projet jusqu'aux infrastructures matérielles.

La sécurité des architectures Web n'est pas seulement l'affaire des responsables réseaux ou des hébergeurs. Elle doit être pensée et mise en ?uvre très tôt, dès la conception des applications. L'objectif de cet ouvrage est de fournir un état de l'art des méthodes et outils de sécurisation des architectures Web. Construit en sept parties, il aborde successivement : - les notions de base de la cryptographie et leur mise en ?uvre (algorithmes et protocoles), - la méthodologie à appliquer au cours du projet pour traiter la sécurité, - les caractéristiques techniques des architectures Web, et notamment leurs vulnérabilités, - les différents systèmes de sécurisation (logiciels et équipements), - les composants de sécurité offerts par la plate-forme J2EE, illustrés par des exemples concrets, - une présentation similaire de l'environnement Microsoft NET, - une illustration de ces différents concepts dans des études de cas concrètes. Cet ouvrage s'adresse avant tout aux architectes, chefs de projets et développeurs. Les responsables informatiques et les maîtrises d'ouvrages y trouveront des éléments pour mieux aborder les problématiques de sécurité dans leurs projets.

[Lire la suite]




 
couverture du livre Sécurité des réseaux

Note 5 drapeau
Détails du livre
Sommaire
Critiques (1)
0 commentaire
 
 

Sécurité des réseaux

Applications et standards

de
Public visé : Débutant

Résumé de l'éditeur

Présentation de l'éditeur
A l'heure des communications électroniques universelles, menaces et fraudes entravent plus que jamais la productivité et la sécurité des entreprises et des individus. Heureusement la sécurité des réseaux a mûri, conduisant au développement d'applications et de techniques de protection efficaces.
Cet ouvrage fournit une vision d'ensemble des pratiques et des principes de sécurité vitaux pour le traitement de tout échange de données sur un réseau.
Il développe les points clé nécessaires à la mise en ?uvre d'une politique de sécurité moderne :
- la cryptographie, qui constitue le fondement de nombre d'applications de sécurité : chiffrement, fonctions de hachage, signatures numériques, échange de clés ;
- les outils et applications destinés à la sécurité des réseaux, dont Kerberos, les certificats X5090, PGP, S/MIME, la sécurité If, SSI./TI.S, SET, etc. ;
- la gestion de réseaux (SNMPO) et la sécurité web ;
- la sécurité au niveau système, incluant un exposé des menaces causées par les attaques d'intrus, de vers et virus, et les mesures à prendre pour les combattre, ainsi que l'utilisation des pare-feu et des systèmes sécurisés;
Une abondante bibliographie et des liens vers des sites web consacrés à la sécurité des réseaux complètent cet ouvrage.

Édition : Vuibert - 382 pages , 30 mars 2002

ISBN10 : 2711786536 - ISBN13 : 9782711786534

Commandez sur www.amazon.fr :

38.00 € TTC (prix éditeur 38.00 € TTC) livraison gratuite !
  • Cryptographie
    • Chiffrement conventionnel et confidentialité des messages
    • Cryptographie à clé publique et authentification de message
  • Applications de sécurité réseau
    • Applications d'authentification
    • Sécurité du courrier électronique
    • Sécurité IP
    • Sécurité web
    • Sécurité de gestion de réseau
  • Sécurité des systèmes
    • Intrus et virus
    • Pare-feu
Critique du livre par la rédaction Bob le 31 juillet 2002
Ce livre se veut très général et aborde les grands problèmes de sécurité actuels. Il présente une approche très universitaire de la sécurité des réseaux, et pourrait donc convenir comme une introduction à un cours de sécurité plus approfondi. Le problème est qu'il ne fait qu'effleurer les différents thèmes abordés et laisse un grand nombre de questions en suspend.
Des points importants comme la cryptographie, IPSec ou encore SSL sont présentés. Ceci permet de donner un bon aperçu des techniques employées actuellement pour sécuriser les réseaux. Encore une fois, les notions présentées ne sont pas suffisantes pour permettre à un administrateur de prendre des décisions concrètes ou de mettre en place un système de sécurité efficace. L'ouvrage sensibilise donc aux problèmes de sécurité et montre un certain nombre de techniques qui peuvent être utilisées, mais on regrette qu'il reste aussi vague.
L'introduction sur la cryptographie est complète et intéressante, ce qui est un très bonne chose étant donné l'importance de la cryptographie dans la sécurité actuelle, que ce soit des données ou des réseaux. La partie cryptographie est à mon avis suffisante pour permettre à une personne nouvelle à ces techniques de comprendre le fonctionnement général des applications cryptographiques. Cependant il est probablement nécessaire de livre un ouvrage consacré entièrement à la cryptographie si l'on s'intéresse sérieusement à la sécurité des réseaux étant donné l'importance de cette notion.
Les standards présentés sont assez peu nombreux. Kerberos, IPSec, SSL, PGP, sont certes des outils importants pour la mise en place d'un réseau sécurisé, mais on ne peut pas résumer la sécurité des réseaux à ces seuls outils. Kerberos, dont le fonctionnement est très détaillé (et pour différentes versions), aurait peut être pu être présenté plus rapidement au profit d'explications supplémentaires sur la mise en place concrète d'un réseau utilisant Kerberos. Un explication brève suivie d'un nombre conséquent d'exemples sur le fonctionnement aurait à mon avis été préférable. En effet, les explications parfois complexes sur les technologies utilisées rendront cet ouvrage difficile à lire pour un débutant, publique pourtant visé par cet ouvrage.

Commentaire personnel :
J'ai trouvé trouvé l'ouvrage relativement difficile à lire et souvent décevant du fait qu'il ne fait que décrire quelques standards. La sécurité d'un réseau est très complexe et la connaissance du principe de fonctionnement de quelques standards ne suffira pas à mettre en place un réseau protégé efficacement. Pour cela il est nécessaire que le lecteur puisse voir des exemples plus concrets de réseaux complets utilisant ces technologies, et comment elles-ont été mises en place.




 Poster une réponse Signaler un problème

Avatar de zoom61 zoom61 - Rédacteur https://www.developpez.com
le 03/06/2014 à 22:33
Sécurité des réseaux
Applications et standards
Présentation de l'éditeur
A l'heure des communications électroniques universelles, menaces et fraudes entravent plus que jamais la productivité et la sécurité des entreprises et des individus. Heureusement la sécurité des réseaux a mûri, conduisant au développement d'applications et de techniques de protection efficaces.
Cet ouvrage fournit une vision d'ensemble des pratiques et des principes de sécurité vitaux pour le traitement de tout échange de données sur un réseau.
Il développe les points clé nécessaires à la mise en ?uvre d'une politique de sécurité moderne :
- la cryptographie, qui constitue le fondement de nombre d'applications de sécurité : chiffrement, fonctions de hachage, signatures numériques, échange de clés ;
- les outils et applications destinés à la sécurité des réseaux, dont Kerberos, les certificats X5090, PGP, S/MIME, la sécurité If, SSI./TI.S, SET, etc. ;
- la gestion de réseaux (SNMPO) et la sécurité web ;
- la sécurité au niveau système, incluant un exposé des menaces causées par les attaques d'intrus, de vers et virus, et les mesures à prendre pour les combattre, ainsi que l'utilisation des pare-feu et des systèmes sécurisés;
Une abondante bibliographie et des liens vers des sites web consacrés à la sécurité des réseaux complètent cet ouvrage.

[Lire la suite]




 
couverture du livre SOA Security

Note 4 drapeau
Détails du livre
Sommaire
Critiques (1)
0 commentaire
 
 

SOA Security

de
Public visé : Intermédiaire

Résumé de l'éditeur

Anyone seeking to implement SOA Security is forced to dig through a maze of inter-dependent specifications and API docs that assume a lot of prior security knowledge on the part of readers. Getting started on a project is proving to be a huge challenge to practitioners. This book seeks to change that. It provides a bottom-up understanding of security techniques appropriate for use in SOA without assuming any prior familiarity with security topics.

Unlike most other books about SOA that merely describe the standards, this book helps readers learn through action, by walking them through sample code that illustrates how real life problems can be solved using the techniques and best practices described in the standards. It simplifies things: where standards usually discuss many possible variations of each security technique, this book focuses on the 20% of variations that are used 80% of the time. This keeps the material covered useful for all readers except the most advanced.

This book shows you
  • Why SOA Security is different from ordinary computer security, with real life examples from popular domains such as finance, logistics, and Government
  • How things work with open source tools and code examples as well as proprietary tools.
  • How to implement and architect security in enterprises that use SOA. Covers WS-Security, XML Encryption, XML Signatures, and SAML.

Édition : Manning - 500 pages , 1re édition, 1er juin 2008

ISBN10 : 1932394680 - ISBN13 : 9781932394689

Commandez sur www.amazon.fr :

46.53 € TTC (prix éditeur 59.99 € TTC) livraison gratuite !
  • Part 1: SOA basics
    • Chapter 1 SOA requires new approaches to security
    • Chapter 2 Getting started with web services
    • Chapter 3 Extending SOAP for security
  • Part 2: Building blocks of SOA security
    • Chapter 4 Claiming and verifying identity with passwords
    • Chapter 5 Secure authentication with Kerberos
    • Chapter 6 Protecting confidentiality of messages using encryption
    • Chapter 7 Using digital signatures
  • Part 3: Enterprise SOA security
    • Chapter 8 Implementing security as a service
    • Chapter 9 Codifying security policies
    • Chapter 10 Designing SOA security for a real-world enterprise
  • Appendix
    • appendix A: Limitations of Apache Axis
    • appendix B: WS-SecureConversation
    • appendix C: Attaching and securing binary data in SOAP
    • appendix D: Securing SAML assertions
    • appendix E: Application-Oriented Networking (AON)

Critique du livre par la rédaction Hikage le 1er février 2009
SOA et Sécurité, deux termes très présents et très importants dans le développement en entreprise.
Le titre est donc très prometteur. Mais les auteurs réduisent tout de suite la portée du livre dans l'introduction.
En effet, ce livre n'explique pas l'architecture et les concepts SOA et n'expose pas toutes les notions de sécurité non plus. Le livre portant sur l'intersection de ces deux domaines, une connaissance minimale des deux sujets était nécessaire pour commencer, ce livre s'adresse donc à un public initié, mais sans pour autant expert.
Cela dit, le livre est tout de même bien ficelé et intéressant. Il est composé de trois parties.
La première consiste en un rappel des bases de la SOA et de la sécurité par WebService : SOAP, SOAP Header, WS-Security.
La seconde partie présente les concepts de sécurité : authentification, autorisation, chiffrement,. Cette section est particulièrement intéressante. Elle présente diverses pratiques (utilisateur/mot de passe, Kerberos, PKI ) tout en décrivant leurs avantages et inconvénients.
La dernière partie est légèrement plus complexe et traite réellement de la sécurité orientée service. Encore une fois, les différentes implémentations d'un service de sécurité sont présentées ainsi que les technologies utilisées dans ce but (SAML, WS-Trust, . )
A la fin de la lecture, on a acquis bon nombre d'informations, mais il subsiste toutefois une impression d'insuffisance sur le sujet. Mais encore une fois, c'est volontaire. Au vu de la complexité des sujets, seules les bases sont présentées mais une multitude de liens sont fournis pour ceux qui désirent approfondir un sujet précis.
Au niveau des exemples, une implémentation basée sur Axis est fourni en fin de chapitre. C'est sans doute le seul bémol, Axis étant un peu vieillissant. Cependant, les exemples sont suffisamment explicites pour être adaptables facilement avec n'importe quel autre framework.
Ce livre est donc plus qu'intéressant, même si le titre " Introduction to SOA Security " aurait été plus représentatif.
English version :
SOA and security, two terms very present and important in the enterprise development.
Due to this and its title, this book sounds very promising. However, the authors reduce immediately the scope of the book in the introduction.
Indeed, the book is not intended to explain the SOA architecture and concepts, neither all the security notions.
The book is about the intersection of the two subjects and so a minimal knowledge of these is necessary. The book is aimed at an initiated public, but not an expert one.
However, the book is well put together and interesting. It is composed of three parts.
The first is a reminder of the basics of SOA and WebService security : SOAP Header SOAP, WS-Security.
The second part presents the concepts of security: authentication, authorization, encryption, ... This section is particularly interesting. It introduces various practices (user / password, Kerberos, PKI), while describing their advantages and disadvantages.
The last part is a little more complex and deals with real security-oriented service. Again, the different implementations of a security service are shown together with the technologies used for this purpose (SAML, WS-Trust, ...)
At the end of the reading, we have learnt lots of information, however there is still a feeling of weakness on the subject. But once again, it's voluntary. Given the complexity of the issues, only the fundamentals are presented, but many links are provided for those who wish to deepen a specific topic.
In terms of examples, an implementation based on Axis is provided at the end of the chapter. This is probably the only regret I have : Axis is a little old. However, the examples are explicit enough to be easily adapted with any other framework.
This book is more than interesting, even if the title "Introduction to SOA Security" would have been more representative.




 Poster une réponse Signaler un problème

Avatar de forum forum - Robot Forum https://www.developpez.com
le 03/06/2014 à 22:34
SOA Security
Anyone seeking to implement SOA Security is forced to dig through a maze of inter-dependent specifications and API docs that assume a lot of prior security knowledge on the part of readers. Getting started on a project is proving to be a huge challenge to practitioners. This book seeks to change that. It provides a bottom-up understanding of security techniques appropriate for use in SOA without assuming any prior familiarity with security topics.

Unlike most other books about SOA that merely describe the standards, this book helps readers learn through action, by walking them through sample code that illustrates how real life problems can be solved using the techniques and best practices described in the standards. It simplifies things: where standards usually discuss many possible variations of each security technique, this book focuses on the 20% of variations that are used 80% of the time. This keeps the material covered useful for all readers except the most advanced.

This book shows you
  • Why SOA Security is different from ordinary computer security, with real life examples from popular domains such as finance, logistics, and Government
  • How things work with open source tools and code examples as well as proprietary tools.
  • How to implement and architect security in enterprises that use SOA. Covers WS-Security, XML Encryption, XML Signatures, and SAML.


[Lire la suite]




 
couverture du livre SSL VPN

Note 3.5 drapeau
Détails du livre
Sommaire
Critiques (1)
0 commentaire
 
 

SSL VPN

Accès web et extranets sécurisés

de
Public visé : Débutant

Résumé de l'éditeur

Avec un volume de page satisfaisant (200 pages), ce livre vous initiera trés rapidement à SSL VPN. Les chapitres sont clairs et l'administrateur avec peu d'expérience y trouvera certainement des conseils avisés et un panorama intéressant de cette méthode trés couramment utilisée !.

Édition : Eyrolles - 206 pages , 1re édition, 1er juillet 2006

ISBN10 : 221211933X - ISBN13 : 9782212119336

Commandez sur www.amazon.fr :

27.55 € TTC (prix éditeur 29.00 € TTC) livraison gratuite !
  • Introduction à SSL VPN
  • SSL VPN dans votre entreprise
  • Comment fonctionne SSL VPN
  • Sécurisation d'un accès SSL VPN
  • Planifier son installation SSL VPN
  • La formation des utilisateurs à SSL VPN
  • Accès aux ressources distantes
  • Quel avenir pour SSL VPN ?
Critique du livre par la rédaction Gilles Louïse le 23 novembre 2006
Le plus souvent utilisateur final, j'ai récemment été initié à l'administration d'une infrastructure SSL VPN (Juniper). C'est donc tout naturellement que j'ai abordé cet ouvrage sur le sujet. Des efforts de vulgarisation évident rendent ce livre trés accessible pour le profane, même si de vagues notions scolaires en modèle OSI et TCP/IP sont préférables.
Une première comparaison avec IPSec (la technique "concurrente" principale) est faite dans le premier chapitre, mais le focus est naturellement donné à SSL VPN et aux challenges de diffusion de l'information et de l'accessibilité au contenu d'entreprise (ressources distantes, applications web d'entreprise, SSO, etc.). Un chapitre conséquent aborde de plus près la sécurisation d'un système SSL VPN, au niveau des différentes vérifications à réaliser coté client (browser, historique de navigation, fichiers temporaires et solutions antivirus), mais également des phases d'authentification et d'autorisations (ACL, chiffrement). Les chapitres 5 et 6 procurent une vision globale pour vous aider à déployer une solution VPN SSL et à assurer que sa mise en place soit correctement appréhendée par l'utilisateur final. Tout au long de l'ouvrage, vous retrouverez des références aux différents produits du marché (Juniper, Cisco, Checkpoint).




 Poster une réponse Signaler un problème

Avatar de zoom61 zoom61 - Rédacteur https://www.developpez.com
le 03/06/2014 à 22:33
SSL VPN
Accès web et extranets sécurisés
Avec un volume de page satisfaisant (200 pages), ce livre vous initiera trés rapidement à SSL VPN. Les chapitres sont clairs et l'administrateur avec peu d'expérience y trouvera certainement des conseils avisés et un panorama intéressant de cette méthode trés couramment utilisée !.

[Lire la suite]




 
Contacter le responsable de la rubrique Sécurité