Discussion :

[step1664]

bonjour,

Je développe une application avec GWT/TOMCAT/MySQL. Je voudrais savoir si l'utilisation de session améliore la sécurité ou si c'est uniquement un mécanisme pour garder le contexte utilisateur ?

Merci

[valkeke]

Perso,

c'est uniquement un mécanisme pour garder le contexte utilisateur

Mais avec GWT, il n'y a pas vraiment de session côté serveur. Tout est côté client. GWT propose RPC afin de communiquer seulement avec le serveur. L'état de votre application GWT est stocké dans le client, le navigateur client si je ne me trompe pas en exemple le panier de vos achats serait stocké côté client. Cela vous permet d'être stateless côté serveur.

Les autres frameworks Wicket, Struts, JSF, SpringMVC, PLay... ont une session côté serveur pour garder l'état de l'application; exemple le panier de vos achats. Ici pour être stateless, il vous faudrait stocker momentanément le panier en base de données par exemple.
Quand on utilise la session côte serveur, cela devient statefull, non ???

j'espère que mes explications sont exactes ???

[step1664]

bonjour,

Merci pour la réponse, je suis d'accord avec vous.

Cependant dans le cas ou on ne gère pas de session, une fois que l'utilisateur est connecté il n'y a plus aucun contrôle de son identité. Cela signifie donc qu'il est possible de dialoguer avec l'application directement sans aucun contrôle. C'est à ce niveau là que je me demandais si l'utilisation d'un numéro de session et sa vérification sur chaque action de l'utilisateur n'était pas un gage de sécurité.

qu'en pensez vous ?

Merci

[fxrobin]

Salut,

je pense que ce lien devrait t'aider :
http://zawoad.blogspot.fr/2009/12/se...-get-data.html

[tchize_]

La session te permet de stocker des données du coté serveur, la sécurité de ces données dépend uniquement des précautions que tu prend avant de les mettre en session. Parce que si tu met en session n'importe quoi que l'utilisateur t'as fournis, ça ne rend pas la donnée plus légitime mais maintenant elle en donne l'impression

Le conteneur, dans sa gestion des sessions, par contre, met en général en place des mécanismes afin d'éviter le session hi jacking et donc garantir que la session ne peux pas être "volée"

[valkeke]

je ne suis un pro de la sécurité ....mais je ne vois pas ce qu'il peut se passer, ou le problème

Cela signifie donc qu'il est possible de dialoguer avec l'application directement sans aucun contrôle

A partir de moment qu'on a piraté ton login et ton mot de passe, tu es mort.
Par contre, s'il n'a pas piraté ton login et mot de passe, comment il fait le pirate pour venir faire des appel ou des requêtes sur ta base de données par exemple avec des services RPC dans ton application GWT.
je ne vois pas trop les failles de sécurité qu'il peut exister?

[tchize_]

Je vais prendre un exemple. Si tu stocke tout coté client et que tu as une application type ecommerce.

Ton utilisateur met dans son panier 15 notebooks à 599€
Ton utilisateur modifie les données dans son navigateur et ça deviens 15 notebooks à 399€ parce que tu as stocké le prix coté client
Ton utilisateur fait le paiement et se fait livrer avec une belle reduc

[valkeke]

un peu bizarre ton cas d'utilisation....

le contrôle des prix d'un site ecommerce va se faire côté serveur, pour le calcul du prix total de ta commande....ici c'est plus un problème de conception que de sécurité?

En fait, je m'intéresse à cette discussion, car je viens de terminer une application en GWT, je suis en période de test, recherche de bug..etc..et je cherche toutes les failles de sécurité de mon application.
N'étant pas un fameux hacker ou un pro du web, je cherche à comprendre ou peuvent être les problèmes avenir qd pleins d'internautes utiliseront l'application.
Pour le moment, j'ai seulement un login et mot de passe pour accéder à l'application........oui; j'imagine à ceux que je peux lire à droite et à gauche...voir à ce que je peux comprendre : c'est léger en terme de sécurité.

Comment sécuriser son application web en GWT?

[step1664]

Le contrôle du Login/mot de passe est important. Mais une fois que l’utilisateur est connecté, dans le cas où le service RPC ne gère pas de session, il est alors possible d’invoquer ce service en usurpant son identité et en utilisant un autre identifiant d’utilisateur.

Dans le cas où le service gère les sessions il est plus difficile d’usurper l’identité de quelqu’un car il faut connaitre son numéro de session.

Qu’en pensez-vous ?

PS : Je pense aussi que l'utilisation du protocole HTTPS améliorera sensiblement la sécurité de ton application