Discussion :

[eddynamique]

Bonjour à tous,

Je suis en train de lancer un blog sur la sécurité, et j'aimerai avoir vos avis sur son contenu.

Alors si vous pouvez lire un ou deux article et faire un feedback ici, ce serait sympa !

http://securitefacile.blogspot.fr

Merci

Avis au modo : je ne fais pas de la pub pour mon blog, j'ai juste besoin de feedback, alors soyez indulgent s'il vous plait...

[MarieKisSlaJoue]

Salut j'ai lu un seul article celui sur les injection SQL. Premièrement

Prenons par exmple une page de connexion à un compte perso sur un site web

Une faute de frappe c'est tous sauf sérieux et fait croire que tu ne te relis pas ce qui serai un très mauvais point.

Je trouve aussi parfois tes phrase mal tourné.

Imaginons quelques secondes à quoi peut ressembler, partiellement, la table dans la base de données qui contient les logins et les mots de passe, et à laquelle le script de connexion va faire appelle pour vérifier que les informations saisies sont valables

Déjà il faut un sacrés souffle pour lire cette phrase. Il ma fallut 2/3 lecture de la phrase pour comprendre ce que tu voulais me dire (Et je pense que c'est le fait qu'il n'y ai pas de point et des virgule pas super bien placer.)

Enfin tu es sensé nous dire comment nous protéger après avoir expliquer le principe, c'est bien. Mais je trouve que la seul solution "développer"

mysql_real_escape_string()

Manque un, d'explication et de deux, d'autre vrai solution. Parce que la je ne sais toujours pas quoi faire pour me protéger à la fin de ton article.
Bon je comprend que développer une solution sans rendre l'article trop long c'est pas facile. Mais je trouve vraiment que tu devrai ajouter une partie concrète, comment s'en protéger. Avec au moins l’exploration des pistes possibles.

C'est peut être le seul article qui souffre de ce défaut, j'ai pas lu les autres.
Par contre j'ai bien aimé la conclusion avec un exemple.

[messinese]

Bonjour,

la seule remarque que je ferais c'est qu'on retrouve un blog traitant de sujets qui ont été traités partout ailleurs, rien de nouveau, de novateur.

Reprendre des article trouvés par-ci par la c'est simple, créer ses propres article suite à de la recherche ou issus de la traduction de document rédigés dans d'autre langues et peu ou pas documentés en Fr. ça c'est déja autre chose.

Disons que meme si le blog semble simpa (on me dira qu'il s'adresse à un public de débutant en la matiere), je le trouve redondant et par conséquent peu utile.

Cdlt.

ps: je ne veux pas paraitre méchant, je donne mon ressenti.

[manticore]

la seule remarque que je ferais c'est qu'on retrouve un blog traitant de sujets qui ont été traités partotu ailleurs, rien de nouveau, de novateur.

Je nuance un peu l'avis de mesinesse, effectivement pour le public ton blog traite de sujets déjà traités et retraité, en plus avec pas mal d'erreurs ou imprécisions (on y reviendra), par contre il a un aspect formatif important.

De plus comme tu es étudiant une fois ta formation terminé, si ton blog est reconnu, ou de bonne facture, tu peux l'utiliser comme vitrine.

Donc pour les articles que j'ai lu :

- mot de passes
- injections sql

Le premier, parle de vitesse de calcul sur un ordinateur personnel. Tu ne décrit rien, bruteforcer un mot de passe ne veux pas dire grand chose. Tu parles d'un fichier en local ? D'une session en ligne ? D'un hash ? Quel type de hash ?

Admettons que tu généralises, pour un public non-initié.

Ensuite pour ce que j'ai lu, tu dis que 8 caractères avec maj-min-chiffre-spéciaux monte jusqu'à 2,4 * 10^22 possibilités.

Sur ma calculette :

8 caractères Majuscules (26) + minuscule (26) + chiffre (10) + disons 20 caractères spéciaux disons finalement 100 caractères. 100^8 ne donne pas le chiffre astronomique que tu avances mais bien 10^16.

Donc en résumé :
- Ton blogs manque de rigueur (il y a aussi des fautes de frappes)
- Le contenu est déjà traité ailleurs.
- Le public cible n'est pas définit, l'utilisateur lambda n'a que faire des injections SQL, et ce chapitre est trop peu développé pour le développeur/hacker qui cherche des informations.

Que le contenu soit déjà traité ailleurs me dérange pas, tu débutes, il te faut des sujets accessible, les sujets plus techniques viendrons avec le temps. De plus expliquer clairement est un exercice difficile. Commencer avec des attaques simples me parait justifié.

[eddynamique]

Merci à vous pour vos retour et vos remarques constructives, il est toujours plus intéressant d'avoir des remarques de ce type plutôt que des gens qui disent tout le temps que tout est très bien.

Je vais effectivement essayer de mettre plus de rigueur dans la rédaction de mes articles et aussi plus approfondir mes recherches avant de rédiger.

Ce sont des sujets qui sont souvent déjà traiter, mais c'est là mon premier essai en terme de rédaction d'articles, donc j'essaie pour le moment de rédiger des articles corrects (ce qui n'est pas encore le cas) et ensuite je tenterai de me documenter sur de nouvelles choses pour vraiment apporter un plus par rapport à ce qu'il se fait ailleurs.

Il est vrai aussi que la cible n'est pas clairement définie. En réalité, j'aimerais viser un public allant du l'utilisateur lambda à l'informaticien qui désire approfondir ses connaissances sur les concepts de la sécurité. De toute évidence je ne m'adresse pas à l'expert en sécurité (ce serait plutôt à lui de s'adresser à moi pour m'aider dans ma rédaction ! )

Merci en tout cas, bonne fin de journée !
Et n'hésitez pas à me faire d'autres remarques..

[messinese]

Salut,


si je devais ajouter une remarque ce serait bonne chance à toi, tu as eu une trés bonne réactions à ce qui t'a été dis et semble avoir pris compte des diverses remarque .

Si tout les webmasters & co pouvaient etre aussi humble et accepter la critique aussi facilement....

Bon vent à toi !

Cdlt.