Security

Question 1

quel sont les 4 concepts de base de security fourni dans SF

Answer 1

Sessions cookie, CSRF, authentification (firewall) & authorization (access control)

Question 2

qu’est ce que le security provider

Answer 2

c’est le mécanisme permettant de recupérer et valider un access (user BDD, memory, LDAP, etc…)

Question 3

que signifie l’etat “stateless” du firewall

Answer 3

le firewall ne dépend d’une session user pour maintenir l’auth. il faut donc s’auth à chaq request. Ideal pour API

Question 4

que signifie l’etat “stateful” du firewall

Answer 4

le firewall stateful va conservé l’etat auth à travers les request par l’intermédiaire de la session.

Question 5

a quoi sert l’I UserPasswordHasherInterface

Answer 5

a hash un password pour le persist en BDD

Question 6

comment hash un password manually

Answer 6

php bin/console security:hash-password

Question 7

que signifie le mode “lazy” dans la config d’un firewall

Answer 7

cela permet de ne créer une session que si les users est réellement authorize. Pour éviter de faire travaillé le cache de session pour rien.

Question 8

comment récuperer la config d’un firewall suivant une request

Answer 8

$this->security->getFirewallConfig($request)

Question 9

quels sont les différents modes d’authentification

Answer 9

Form Login, JSON login, HTTP Basic, Login Link, X.509 client certificates, Remote users, Custom Authenticators, socialMedia auth (HWIOAuthBundle)

Question 10

quels sont les specificité de la connexion par Form Login

Answer 10

1/ use FormLoginAuthenticator 2/ config firewall main:form_login 3/ firewall redirect if request non auth page into login_path 4/ FormLoginAuthenticator intercept request & check auth

Question 11

quels sont les specificité de la connexion par JSON login

Answer 11

1/ endpoint provide token access 2/ config firewall main:json_login 3/ generate token 4/ sending token each secure request

Question 12

quels sont les specificité de la connexion HTTP Basic

Answer 12

1/ basic form login 2/ config firewall main:http_basic 3/ utilise le header WWW-Authenticate response header 4/ pas de logout fonction 5/ browser remember credentials and sent on every request

Question 13

quels sont les specificité de la connexion Login Link

Answer 13

systeme d’auth sans password. Le user recoit une URL qui l’auth un certain temps sur le site

Question 14

quels sont les specificité de la connexion Access Tokens

Answer 14

systeme de connexion par token qui est emi par un systeme externe

Question 15

quels sont les specificité de la connexion X.509

Answer 15

systeme d’auth gérer par le WebServer par certification (config = firewalls.main.x509.provider)

Question 16

quels sont les specificité de la connexion Remote User

Answer 16

systeme d’auth gérer par le WebServer et des services externe comme Kerberos (config = firewalls.main.remote_user.provider)

Question 17

comment éviter une Brute Force Login Attack

Answer 17

1/ installer le bundle “symfony/rate-limiter” permettant de limiter les tentatives de connexion 2/ utiliser l’option login_throttling (utilise le nbr connexion + username + IP Address)

Question 18

Comment gérer de manière plus fine la protection par Brute Force Login

Answer 18

impl RequestRateLimiterInterface ou DefaultLoginRateLimiter

Question 19

comment customizer le success ou le fail authentification process

Answer 19

implémenter AuthenticationSuccessHandlerInterface / AuthenticationFailureHandlerInterface

Question 20

qui est responsable de récuperer l’obj User

Answer 20

Le service Security

Question 21

Quels sont les 3 facons de gérer l’accès à une URL/Resource

Answer 21

Access Control / In Controller / Attribute #[IsGranted()] / Voters

Question 22

Quel est la différence entre les status “IS_AUTHENTICATED”, “IS_AUTHENTICATED_FULLY”, “IS_AUTHENTICATED_REMEMBERED” et “IS_IMPERSONATOR”

Answer 22

IS_AUTHENTICATED_FULLY signifie que le user à entrer ces access sur la dernière session alors que IS_AUTHENTICATED_REMEMBERED signifie que le user utilise le cookie pour éviter de retapper ces login et IS_IMPERSONATOR signifie que les user est connecté en tant qu’un autre user. Tous ces status sont compris dans le status plus général IS_AUTHENTICATED

Question 23

décrire le mecanisme de controller du user entre les request

Answer 23

pour chq request (stateful firewall) dans le firewall, une fois le user serializer dans la session, il est deserializer et passer au user provider (doctrine) pour le refresh. Le system compare le user provenant de la session et celui provenant du refresh.

Question 24

comment gérer les hash des mot de passe

Answer 24

utiliser le composant symfony/password-hasher

Question 25

comment vérifier qu’un password est correct

Answer 25

avec le composant password-hasher et l’interface UserPasswordHasherInterface et la methode isPasswordValid

Question 26

comment gérer le reset password efficacement

Answer 26

utiliser le bundle symfonycasts/reset-password-bundle & make:reset-password