Discussion :

[Katleen Erna]

Une banque est la risée des hackers et du web, suite à sa manière particulière de se prémunir des injections SQL

Une banque californienne a une manière bien particulière de se protéger des attaques par injection SQL. Dans la FAQ de son site, l'établissement demande à ses clients de ne pas utiliser les mots suivants (comme réponse à leur question secrète) : insert, delete, drop, update, null et select.

Cette information a été découverte le 14 mai et depuis, elle a fait le tour du web, suscitant de grands fous rires dans la communautés des amateurs et professionnels de la sécurité informatique. Depuis hier, la FAQ n'est plus en ligne mais, fort heureusement, nous disposons d'une capture d'écran de ce qui avait été publié :



Source : Le site Internet de la banque Sactocu

Que pensez d'une telle publication de la part de professionnels, qui plus est, dont le rôle est de protéger votre argent ?

Le site de cette banque est-il suffisamment sécurisé selon-vous ?

[jayfaze]

Ça me fait penser à une entreprise qui avait fait sous traiter un projet web en Inde. Lors de l'inscription, quand on choisissait son mot de passe, on pouvait avoir comme erreur :
"ce mot de passe est déjà utilisé, veuillez en choisir un autre"

[ironzorg]

Utiliser une blacklist de mots pour securiser des forms contre les injections SQL est une mauvaise idee (j'espere que quelqu'un a prit le temps de leur dire).

[Patriarch24]

Vraiment trop drôle... d'autant plus que leur système s'appelle "Protection Plus" !!!

[Jidefix]

Rohhh ils préviennent peut-être simplement qu'ils seront refusés, si ça se trouve il y a d'autres sécurités plus sérieuses derrière... enfin j'espère!

[Perplexe]

Je ne comprends pas les choses de cette manière, même si c'est effectivement curieux.

Ce qu'ils me semblent essayer de faire, c'est demander à leurs clients qui ne connaissent rien à SQL de ne pas utiliser ces mots, car ils font l'objet d'un traitement particulier.

Cela ne signifie pas que les clients risquent de mettre la base par terre en les utilisant, mais peut-être que les internautes utilisant ces mots sont trackés dans le but de répertorier les sources d'attaques potentielles, peut-être à l'aide de techniques particulièrement pointues comme celle du browser fingerprint décrite par l'EFF.

Je peux me tromper, mais c'est tellement tentant de chercher la bêtise innommable en première lecture.

[aphex]

J'espère bien pour eux que ce n'est pas la seule barrière anti injection qu'ils aient trouvé !!

En attendant ça va que ce n'est qu'une réponse à une question secrète. Car si cette technique devait être généralisée et appliquée partout, et notamment sur le forum développez nous ne pourrions pas répondre à cette news qui n'aurait pas pu être publiée...

C'est risible surtout et simplement parce que ce n'est pas comme ça que l'on combat l'injection.

[Invité]

Ça me fait penser à une entreprise qui avait fait sous traiter un projet web en Inde. Lors de l'inscription, quand on choisissait son mot de passe, on pouvait avoir comme erreur :
"ce mot de passe est déjà utilisé, veuillez en choisir un autre"

Oh les boulets

[Jidefix]

En même temps si deux personnes choisissent le même mot de passe, c'est probablement qu'elles devraient faire un effort d'originalité, mais du coup j'aurai plutôt mis comme message:
" merci de ne pas mettre 'Motdepasse123' "

[cd090580]

Déjà rien que le nom de la banque....

[Namica]

Le site de cette banque est-il suffisamment sécurisé selon-vous ?

• Est-ce une invitation à tester leur sécurité ?
• Où bien un mot d'explication, parmi d'autres causes possibles, à destination des blondes américaines pour leur expliquer pourquoi leur réponse à la question secrète est rejetée ?
• Où encore, une connerie de leur service de marketing qui a pensé que ce serait bien d'expliquer que leur site est sécurisé et n'ont rien pigé à ce que le service informatique leur a expliqué ?

[pcaboche]

Dans la FAQ de son site, l'établissement demande à ses clients de ne pas utiliser les mots suivants (comme réponse à leur question secrète) : insert, delete, drop, update, null et select.

Génial ! On peut quand même utiliser le mot TRUNCATE...

[pmithrandir]

Je ne comprends pas les choses de cette manière, même si c'est effectivement curieux.

Ce qu'ils me semblent essayer de faire, c'est demander à leurs clients qui ne connaissent rien à SQL de ne pas utiliser ces mots, car ils font l'objet d'un traitement particulier.

Cela ne signifie pas que les clients risquent de mettre la base par terre en les utilisant, mais peut-être que les internautes utilisant ces mots sont trackés dans le but de répertorier les sources d'attaques potentielles, peut-être à l'aide de techniques particulièrement pointues comme celle du browser fingerprint décrite par l'EFF.

Je peux me tromper, mais c'est tellement tentant de chercher la bêtise innommable en première lecture.

j'aime bien cette explication.

[Dr.Who]

Qu'attendiez vous d'une banque qui s'appelle Sactocu ? (sac ton cul)

[nightfall59]

par Namica
Est-ce une invitation à tester leur sécurité ?

Effectivement en regardant ça donne terriblement envie de tester leur securité ^^ (juste pour essayer je ne suis pas un pirate ni un voleur...enfin après c'est une banque vu ce qu'elle contient :s...)

J'espère juste qu'il y a d'autres securités derriere parceque sinon... :X

Apparition de premiers braqueurs en ligne?

[coeos.pro]

Ça me fait penser à une entreprise qui avait fait sous traiter un projet web en Inde. Lors de l'inscription, quand on choisissait son mot de passe, on pouvait avoir comme erreur :
"ce mot de passe est déjà utilisé, veuillez en choisir un autre"

Ils auraient pu mettre "Ce mot de passe est déjà utilisé par jayfaze"