Dans le cadre de l’organisation des Meet-Up de la filière Ingénierie du Web, en 5ème année, les étudiants Martin PETIT, Valentin HARAULT et Edouard GACHET ont décidé d’animer un talk sur « La Sécurité dans Symfony ».
Pourquoi ce sujet ?
Dans le cadre du premier semestre, doivent organiser une conférence sur un sujet « technologique » de leur choix.
Après s’être tous concertés, ils ont choisi comme sujet la sécurité dans Symfony, car ils ont tout trois eu l’occasion de développer sur le Framework Symfony et se sont aperçus que la sécurité était soit négligée par beaucoup d’étudiants, soit n’était pas exploitée au maximum.
Ils ont donc cherché des professionnels qui pourraient partager leurs expériences et leurs connaissances sur le sujet.
Au fur et à mesure de leurs recherches, ils se sont heurtés à un problème de taille : la sécurité dans Symfony reste un sujet assez pointilleux et la plupart des professionnels avec qui ils prenaient contact, n’étaient pas prêt à faire une intervention sur le sujet, par « manque de connaissances sur le sujet ».
Après plusieurs mois, ils ont finalement réussi à trouver deux intervenants : Jérôme Tamarelle (Lead Developer chez Prisma Media et membre de la Core Team de Symfony) et Laurent Voullemier (Lead Developer chez Sensiolabs).
Conférence 1 : Les failles de sécurité par Jérôme Tamarelle
Dans cette présentation, Jérôme a abordé les failles de sécurité dans Symfony pendant 40 minutes à travers trois parties :
- Présentation de l’audit sur Symfony 2 : présentation de l’audit de sécurité effectué en 2011, juste avant la sortie de Symfony 2, qui contient toutes les failles de sécurité détectées avec les correctifs apportés.
- Présentation du security-advisory : Jérôme a présenté le security-advisory, un blog sur symfony.com qui répertorie les failles de sécurité détectées sur Symfony avec les résolutions. Ensuite, il a parcouru quelques failles majeures et a expliqué la faille et le correctif dans les détails.
- Comment éviter ces failles : Pour conclure, le talker a évoqué les différents moyens qui permettent d’éviter au maximum les failles de sécurité dans une application (mises à jour régulières du framework/langage, utiliser des outils d’analyses de code, bonnes pratiques, audits de sécurité…).
Conférence 2 : Le composant sécurité par Laurent Voullemier
De son côté, Laurent a présenté le composant Sécurité de Symfony pendant environ 1 heure. Il a découpé sa conférence en deux parties :
- Authentication : L’authentication (en français authentification) correspond à l’identité de l’utilisateur, avec une confirmation de son identité en fournissant par exemple son nom d’utilisateur (username) ou son email et son mot de passe sur un système. Laurent a abordé, entre autres, la notion d’encoder un mot de passe ainsi que la création des custom authenticators.
- Authorization : L’autorization (en français autorisation), correspond aux permissions attribuées à l’utilisateur. Le conférencier a présenté la hiérarchie des rôles, comment restreindre l’accès à certaines pages, ainsi que la notion de « Voter » à savoir comment créer des restrictions personnalisées.
Une expérience riche et formatrice
Pour Martin PETIT, organiser ce meetup fut une très belle expérience, pour lui comme pour les membres de son groupe et les conférenciers :
« Nous nous étions bien réparti les rôles ce qui nous a permis d’éviter les problèmes techniques et les passages un peu ennuyant qui peuvent exister lors des conférences à distance. De plus la conférence s’est déroulée de manière fluide car les deux conférenciers maitrisaient parfaitement le sujet et avaient déjà fait des conférences dans le passé.
Si nous devions refaire un meetup, j’aurais aimé un troisième intervenant afin d’organiser une « discussion » à la fin de la conférence que nous aurions pu animer et ainsi apporter un peu plus de dynamisme.
Pour conclure, je pense que la plupart des spectateurs ont appris beaucoup de choses sur le sujet et ne se sont pas ennuyés pendant près de deux heures. »
Un grand bravo aux trois étudiants pour cette conférence riche et intéressante, et rendez-vous l’année prochaine pour de nouveaux Meet-Up à l’ESGI !