Securité et fiabilité d'un CMS pour des données sensibles

psyghost · 20/01/2011, 13h04

Bonjour,

J'ai besoin de votre aide et d'un maximum d'informations concernant le sujet suivant:

J'ai l'intention de developpez un site web qui traite des informations boursiers et financiers assez sensibles lié transactionnellement avec des SI de banques.

L'idée est de développez avec le CMS Drupal et le site sera hébergé dans un serveur dédié.

Ma première préoccupation est ce que pour des informations assez sensibles le CMS Drupal est il fiable ? le niveau de sécurité est il à la hauteur ?

PS : On m' a dit que principalement ce genre d'appli doivent être développé en Java + oracle et surtout pas avec un CMS !! ont ils raison ?

Merci d'avance de votre aide

grunk · 20/01/2011, 13h37

Les CMS (open source en tout cas) sont forcément moins sécurisé qu'un code fait maison (à qualité de code égale) puisque n'importe qui peut se pencher dans le code pour trouver des failles.
De plus entre le moment ou une faille est révélée et ou elle est patché il peut se passer des jours que tu risque de trouver longs si tes données sont sensibles.

Après pour ce qui est des technos à utiliser je ne m'avancerais pas , c'est un milieu que je ne connais pas.
Mais effectivement si des calculs lourds sont nécessaire JAVA pourrait peut être se révéler plus performant que php.
Si en revanche c'est une question purement sécuritaire , je suis pas convaincu que l'un soit meilleur que l'autre.

Benjamin Delespierre · 21/01/2011, 14h09

De plus, si l'activité de ton site est vraiment spécifique, il y a de grandes chances pour qu'un CMS ne puisse pas vraiment s'y adapter (aussi générique soit-il).

Au final, il sera certainement préférable de coder à la main - voire en utilisant un framework mais on retrouvera le problème cité précédemment par grunk à savoir que les framework sont la plupart du temps open source et que des failles de sécurité peuvent apparaitre.

Beaucoup de gens viennent sur ce forum pour demander "est ce que Joomla peut faire ci, est ce que Magento peut faire ça..." Il ne faut pas perdre de vue qu'un CMS c'est une boite avec un usage et un but précis, le tordre pour le faire correspondre à un besoin est dangereux et souvent plus chronophage que le développement direct.

Citation:

On m' a dit que principalement ce genre d'appli doivent être développé en Java + oracle et surtout pas avec un CMS !! ont ils raison ?

En effet, les CMS sont pour la plupart développés en PHP, le code sur le serveur est donc en clair. En utilisant les JSP les classes Java sont compilées donc pour comprendre la logique de l'application il faut nettement plus de temps. C'est un problème qu'on rencontre souvent quand on vends un produit web. Oracle quand à lui n'est pas radicalement plus sécurisé qu'un autre DBMS, mais il à la réputation d'être fiable et surtout de pouvoir manipuler de grands jeux de données de manière sécurisé (donc sans risque de perte d'informations). C'est ce qui en fait un candidat de choix pour les applications critiques.

grunk · 21/01/2011, 14h22

Citation:

Envoyé par Benjamin Delespierre

En utilisant les JSP les classes Java sont compilées donc pour comprendre la logique de l'application il faut nettement plus de temps. C'est un problème qu'on rencontre souvent quand on vends un produit web. Oracle quand à lui n'est pas radicalement plus sécurisé qu'un autre DBMS, mais il à la réputation d'être fiable et surtout de pouvoir manipuler de grands jeux de données de manière sécurisé (donc sans risque de perte d'informations). C'est ce qui en fait un candidat de choix pour les applications critiques.

J'ai jamais développé en JSP mais si ca se présente sous la même forme qu'une applet avec des .class l'argument de la sécurité ne tient pas. C'est d'une facilité déconcertante de décompiler un .class et d'obtenir le code en clair et correctement formaté.

Je lisais ce matin (je retrouve plus l'article >< ) qu' à la BNP il n'ont pas loins de 700 appli en php qui tourne. Ca va de l'intranet à l'appli très spécifique. Le tout couplé avec oracle ou mysql. Il précise cependant qu'il utilise toujours beaucoup JAVA.

Benjamin Delespierre · 21/01/2011, 14h57

C'est vrai mais entre un code décompilé et un code en clair avec eventuellement ses commentaires, on voit lequel est le plus complexe à comprendre. Cela étant de toute façon on peut reverse engeener à peu près n'importe quoi donc...

Et c'est vrai aussi, c'est à la mode de passer des applis Java en PHP depuis quelques années: c'est moins cher à beaucoup de niveaux.

20/01/2011, 13h04	#1
psyghost Invité de passage Inscription : mars 2008 Messages : 11 Détails du profil Informations forums : Inscription : mars 2008 Messages : 11 Points : 0 Points : 0	Securité et fiabilité d'un CMS pour des données sensibles Bonjour, J'ai besoin de votre aide et d'un maximum d'informations concernant le sujet suivant: J'ai l'intention de developpez un site web qui traite des informations boursiers et financiers assez sensibles lié transactionnellement avec des SI de banques. L'idée est de développez avec le CMS Drupal et le site sera hébergé dans un serveur dédié. Ma première préoccupation est ce que pour des informations assez sensibles le CMS Drupal est il fiable ? le niveau de sécurité est il à la hauteur ? PS : On m' a dit que principalement ce genre d'appli doivent être développé en Java + oracle et surtout pas avec un CMS !! ont ils raison ? Merci d'avance de votre aide
	00

21/01/2011, 14h57	#5
Benjamin Delespierre Modérateur Benjamin Delespierre Développeur Web Inscription : février 2010 Messages : 2 984 Détails du profil Informations personnelles : Nom : Benjamin Delespierre Âge : 24 Localisation : France Informations professionnelles : Activité : Développeur Web Secteur : High Tech - Opérateur de télécommunications Informations forums : Inscription : février 2010 Messages : 2 984 Points : 5 015 Points : 5 015	C'est vrai mais entre un code décompilé et un code en clair avec eventuellement ses commentaires, on voit lequel est le plus complexe à comprendre. Cela étant de toute façon on peut reverse engeener à peu près n'importe quoi donc... Et c'est vrai aussi, c'est à la mode de passer des applis Java en PHP depuis quelques années: c'est moins cher à beaucoup de niveaux. __________________ A la recherche d'un framework MVC facile a prendre en main ? Essayez Axiom Nouveau: la référence d'Axiom est disponible sur GitHub (je la peaufine en ce moment même). Un problème correctement identifié est à moitié résolu, évitez de poster l'intégralité de votre code avec pour seule explication "ça ne marche pas...". Pour identifier correctement vos problèmes PHP, utilisez la gestion des erreurs et xdebug. Les boutons et existent, servez-vous en
	00

20/01/2011, 13h37	#2
grunk Expert Confirmé Olivier Développeur Web Inscription : août 2003 Messages : 1 837 Détails du profil Informations personnelles : Nom : Olivier Âge : 27 Localisation : France, Côte d'Or (Bourgogne) Informations professionnelles : Activité : Développeur Web Secteur : Industrie Informations forums : Inscription : août 2003 Messages : 1 837 Points : 3 318 Points : 3 318	Les CMS (open source en tout cas) sont forcément moins sécurisé qu'un code fait maison (à qualité de code égale) puisque n'importe qui peut se pencher dans le code pour trouver des failles. De plus entre le moment ou une faille est révélée et ou elle est patché il peut se passer des jours que tu risque de trouver longs si tes données sont sensibles. Après pour ce qui est des technos à utiliser je ne m'avancerais pas , c'est un milieu que je ne connais pas. Mais effectivement si des calculs lourds sont nécessaire JAVA pourrait peut être se révéler plus performant que php. Si en revanche c'est une question purement sécuritaire , je suis pas convaincu que l'un soit meilleur que l'autre.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email