Karim Pinchon

PHP 8.1 - Propriété readonly 25 juillet 2022 PHP 8.1 a introduit une nouvelle fonctionnalité vraiment intéressante : les propriétés readonly. Celle-ci permet de déclarer que la valeur de la propriété ne peut être modifiée qu’une seule fois. Bien souvent on va vouloir le faire dans un constructeur mais ça peut être fait dans une autre méthode. En revanche, impossible de le faire à l’extérieur de la classe. C’est bien toute modification qui est impossible : c’est à dire qu’il est impossible d’utiliser les opérateurs d’incrémentation/décrémentation, unset(), etc… ... ➦

Tour d'horizon de failles connues de JWT 23 juillet 2022 Tout d’abord je dois dire que le titre est clairement trompeur. Il n’y a pas de faille à proprement parler dans la technologie elle-même mais plutôt dans ses implémentations (quelque soit le langage utilisé). Faisons donc un tour des vulnérabilités plus ou moins connues des implémentations de JWT. Algo “none” Une vulnérabilité assez vite exploitée fut l’utilisation de la valeur none dans l’entête du JWT. En effet, il est prévu dans la RFC7519 la possibilité d’avoir des jetons non sécurisés en le spécifiant de cette manière : ... ➦

Quelques bonnes pratiques lorsqu'on utilise des JWT 22 juillet 2022 JWT est une technologie bien connue des développeurs aujourd’hui. On l’utilise très souvent comme clé d’API, comme access token lorsqu’on fait du OAuth2 ou encore comme id token dans le cadre d’OpenID Connect. En clair, ça sert à faire de l’authentification et/ou de l’autorisation. Et comme tout ce qui touche à ce genre chose, il est primordiale d’y apporter une attention toute particulière ! C’est un angle d’attaque intéressant pour un attaquant non ? ... ➦