[Sécurité] un formulaire en flash est-il plus sur qu'un formulaire en html ? [Résolu]

Marrine · 05/04/2007, 20h09

Bonjour,

J'ai eu l'idée que faire un formulaire en flash/actionscript est peut-être plus intéressant au point de vue sécurité qu'un formulaire en html/javascript.

L'idée serait de faire des contrôles sur les entrées en les filtrant pour éviter des trucs du genre injection mysql.

Je sais qu'en javascript il n'y a pas de vrai protection puisque le script peut être modifié par n'importe qui. Alors qu'un script de contrôle en actionscript ne doit pas pouvoir être modifié ni lu puisqu'il est compilé.

Je débute et j'ai recherché la réponse à cette question sur le web et sur ce site, sans succès. Je suppose que quelque chose m'échappe et que cette solution ne doit pas être si intéressante que ça. ???

Raideman · 05/04/2007, 21h42

Plus sur dans le sens ou la source du flash est protégé peut etre, ceci dit, il est possible de décompiler le flash. C'est peut etre un peu plus dur mais si la personne est motivée, elle y arrivera.
En soit je dirai qu'il ne fait jamais reposer la sécurité coté client, mais coté serveur. Donc , que ce soit flash, ou javascript, il te faut tester, parser, analyser toutes tes variables saisies par les utilsateurs avant de travailler avec (notamment si tu les injectes dans des bases de données derrière).

Personnellement donc, je pense que l'utilisation du flash ne change pas grand chose au problème.

Tout dépend aussi de l'importance des données que tu souhaites protégér et de la priorité qu'elles ont.

Marrine · 05/04/2007, 23h08

Je ne savais pas qu'il existait des décompilateurs pour Flash. Ca fait deux jours que je me demandais pourquoi je ne trouvais pas d'informations au sujet de ma question.

Alors merci beaucoup pour ta réponse.

Hervé Saladin · 06/04/2007, 12h17

Le problème n'est pas qu'il y ait des décompilateurs de flash ou que l'on puisse modifier le javascript etc ...
Le problème c'est qu'on est pas obligé d'utiliser le formulaire que tu fourniras pour envoyer des données (potentiellement malveillantes) à tes scripts php.
En effet, n'importe qui peut créer son propre formulaire, ou même tout simplement forger la requete HTTP sans passer par quelque formulaire que ce soit.
Donc, la vérification coté serveur est INDISPENSABLE, quelque soit le language serveur utilisé, et quelque soit les technos coté client.

Marrine · 06/04/2007, 12h27

Mais comment peut-on envoyer une requête http sans décompiler le code pour savoir où l'adresser ?

Hervé Saladin · 06/04/2007, 12h52

Rien de plus simple : il suffit d'essayer avec le vrai formulaire en capturant le traffic réseau.
Par exemple avec ethereal, tu vois très bien la requete http, sa destination, son contenu (champs, cookies etc ...).
Et encore, ça c'est la méthode "artisanale", mais il existe des outils de hacking "industriel" (façon de parler) qui scannent automatiquement les sites, et testent des manipulations de parametres, injections sql, xss, etc etc ....

Marrine · 06/04/2007, 13h06

C'est ce qu'on m'avait dit pour LiveHTTPHeaders. Je l'ai installé et je l'ai essayé.

Effectivement ça donne des informations pour les formulaires en javascript, mais pour les formulaires en flash, ça parait inefficace.

Mais ethereal est peut-être plus performant ?

Marrine · 06/04/2007, 13h39

oui, on dirait

05/04/2007, 20h09	#1
Marrine En attente de confirmation mail Inscription : octobre 2006 Messages : 11 Détails du profil Informations forums : Inscription : octobre 2006 Messages : 11 Points : 2 Points : 2	[Sécurité] un formulaire en flash est-il plus sur qu'un formulaire en html ? Bonjour, J'ai eu l'idée que faire un formulaire en flash/actionscript est peut-être plus intéressant au point de vue sécurité qu'un formulaire en html/javascript. L'idée serait de faire des contrôles sur les entrées en les filtrant pour éviter des trucs du genre injection mysql. Je sais qu'en javascript il n'y a pas de vrai protection puisque le script peut être modifié par n'importe qui. Alors qu'un script de contrôle en actionscript ne doit pas pouvoir être modifié ni lu puisqu'il est compilé. Je débute et j'ai recherché la réponse à cette question sur le web et sur ce site, sans succès. Je suppose que quelque chose m'échappe et que cette solution ne doit pas être si intéressante que ça. ???
	00

05/04/2007, 21h42	#2
Raideman Membre Expert Inscription : octobre 2002 Messages : 1 141 Détails du profil Informations personnelles : Âge : 32 Localisation : France, Rhône (Rhône Alpes) Informations forums : Inscription : octobre 2002 Messages : 1 141 Points : 1 204 Points : 1 204	Plus sur dans le sens ou la source du flash est protégé peut etre, ceci dit, il est possible de décompiler le flash. C'est peut etre un peu plus dur mais si la personne est motivée, elle y arrivera. En soit je dirai qu'il ne fait jamais reposer la sécurité coté client, mais coté serveur. Donc , que ce soit flash, ou javascript, il te faut tester, parser, analyser toutes tes variables saisies par les utilsateurs avant de travailler avec (notamment si tu les injectes dans des bases de données derrière). Personnellement donc, je pense que l'utilisation du flash ne change pas grand chose au problème. Tout dépend aussi de l'importance des données que tu souhaites protégér et de la priorité qu'elles ont. __________________ http://www.cimbat.com Mes contributions pour developpez.com Construire un calendrier dynamique avec AJAX conseil juridique en ligne
	00

06/04/2007, 12h17	#4
Hervé Saladin Membre chevronné Développeur Web Inscription : décembre 2004 Messages : 636 Détails du profil Informations personnelles : Âge : 30 Informations professionnelles : Activité : Développeur Web Informations forums : Inscription : décembre 2004 Messages : 636 Points : 689 Points : 689	Le problème n'est pas qu'il y ait des décompilateurs de flash ou que l'on puisse modifier le javascript etc ... Le problème c'est qu'on est pas obligé d'utiliser le formulaire que tu fourniras pour envoyer des données (potentiellement malveillantes) à tes scripts php. En effet, n'importe qui peut créer son propre formulaire, ou même tout simplement forger la requete HTTP sans passer par quelque formulaire que ce soit. Donc, la vérification coté serveur est INDISPENSABLE, quelque soit le language serveur utilisé, et quelque soit les technos coté client. __________________ Ne cliquez pas sur ce lien
	00

06/04/2007, 12h52	#6
Hervé Saladin Membre chevronné Développeur Web Inscription : décembre 2004 Messages : 636 Détails du profil Informations personnelles : Âge : 30 Informations professionnelles : Activité : Développeur Web Informations forums : Inscription : décembre 2004 Messages : 636 Points : 689 Points : 689	Rien de plus simple : il suffit d'essayer avec le vrai formulaire en capturant le traffic réseau. Par exemple avec ethereal, tu vois très bien la requete http, sa destination, son contenu (champs, cookies etc ...). Et encore, ça c'est la méthode "artisanale", mais il existe des outils de hacking "industriel" (façon de parler) qui scannent automatiquement les sites, et testent des manipulations de parametres, injections sql, xss, etc etc .... __________________ Ne cliquez pas sur ce lien
	00

05/04/2007, 23h08	#3
Marrine En attente de confirmation mail Inscription : octobre 2006 Messages : 11 Détails du profil Informations forums : Inscription : octobre 2006 Messages : 11 Points : 2 Points : 2	Je ne savais pas qu'il existait des décompilateurs pour Flash. Ca fait deux jours que je me demandais pourquoi je ne trouvais pas d'informations au sujet de ma question. Alors merci beaucoup pour ta réponse.
	00

06/04/2007, 12h27	#5
Marrine En attente de confirmation mail Inscription : octobre 2006 Messages : 11 Détails du profil Informations forums : Inscription : octobre 2006 Messages : 11 Points : 2 Points : 2	Mais comment peut-on envoyer une requête http sans décompiler le code pour savoir où l'adresser ?
	00

06/04/2007, 13h06	#7
Marrine En attente de confirmation mail Inscription : octobre 2006 Messages : 11 Détails du profil Informations forums : Inscription : octobre 2006 Messages : 11 Points : 2 Points : 2	C'est ce qu'on m'avait dit pour LiveHTTPHeaders. Je l'ai installé et je l'ai essayé. Effectivement ça donne des informations pour les formulaires en javascript, mais pour les formulaires en flash, ça parait inefficace. Mais ethereal est peut-être plus performant ?
	00

06/04/2007, 13h39	#8
Marrine En attente de confirmation mail Inscription : octobre 2006 Messages : 11 Détails du profil Informations forums : Inscription : octobre 2006 Messages : 11 Points : 2 Points : 2	oui, on dirait
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email