IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Conception Web Discussion :

Quel langage de programmation pour le Web est-il plus sécurisé ?


Sujet :

Conception Web

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut Quel langage de programmation pour le Web est-il plus sécurisé ?
    Quel langage de programmation pour le Web est-il plus sécurisé ?
    Une étude conclut que les langages populaires ont presque le même degré de sécurité

    Peu sont les développeurs qui lors du choix d’un langage de programmation pour un projet accordent une place importante à la sécurité. Le choix est très souvent basé sur les performances ou encore la familiarité des développeurs avec le langage.

    À la différence des classements sur la popularité des langages ou encore les performances de ceux-ci, le cabinet de sécurité WhiteHat Security vient de publier le classement des langages de programmation utilisés sur le Web, en se basant sur la sécurité de ceux-ci.

    « Décider quel langage de programmation utilisé est souvent fondée sur des considérations telles que la familiarité de l’équipe de développement avec le langage, la génération plus rapide de code ou simplement le résultat à atteindre », a déclaré Jeremiah Grossman, fondateur et PDG de WhiteHat Security.

    L’établissement de ce rapport a été motivé par le manque d’informations suffisantes sur la sécurité, que les équipes peuvent exploiter dans le processus de sélection d’un langage pour leur projet. Le rapport a été établi en mesurant la sécurité des langages de programmation et des framework et en examinant non seulement les bibliothèques sensibles, mais aussi le temps mis pour corriger une faille.

    La liste a été établie suite à l’analyse de plus de 30 000 sites suivis par WhiteHat Security, pour mesurer la façon dont les langages de programmation et les Framework fonctionnent dans le domaine de la sécurité.

    Les langages les plus utilisés par ces sites sont .NET (28 %), Java (25 %), ASP (16 %), PHP (11%), ColdFusion (6%) et Perl (3%). La complexité et la popularité de .NET, Java et ASP signifient que les surfaces d’attaques pour chaque langage est plus grand, selon WhiteHat Security, qui affirme que 31% de vulnérabilité ont été observées en .NET, 28% étaient en Java et 15% en ASP.

    Dans l’ensemble, WhiteHat Security conclut qu’il n’y avait pas une grande différence dans le nombre de vulnérabilités trouvées parmi les sites utilisant ces différents langages. .NET avait une moyenne de 11, 36 vulnérabilités, suivi par Java avec 11,32, ensuite ASP (10,98), Perl (7) et ColdFusion (6).

    Le rapport note également qu’avec le temps, la sécurité des applications Web ne s’améliore pas, alors qu’un meilleur travail est effectué dans la correction des bogues. Ce qui montre que les développeurs accordent peu d’importance à la sécurité par rapport aux fonctionnalités et aux performances.

    La vulnérabilité la plus répandue est le « cross-site scripting » (XSS), suivie des vulnérabilités d’injection SQL, les fuites d’informations et l’usurpation du contenu des réponses HTTP. Le rapport permet de constater que les failles de type XSS sont résolues en moyenne en 52 jours pour PHP, 53 jours pour Perl, 76 jours pour JSP, 72 jours pour ColdFusion et 87 jours pour .NET.


    Source : Rapport de WhiteHat Security


    Et vous ?

    Prenez-vous le paramètre sécurité en compte lors du choix d’un langage de programmation pour un projet ?
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Membre extrêmement actif
    Avatar de Sodium
    Femme Profil pro
    Développeuse web
    Inscrit en
    Avril 2014
    Messages
    2 324
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeuse web

    Informations forums :
    Inscription : Avril 2014
    Messages : 2 324
    Points : 2 006
    Points
    2 006
    Billets dans le blog
    1
    Par défaut
    Le plus gros risque de sécurité est l'erreur humaine.
    Plus on maîtrise une technologie, moins on fera des erreurs de débutant et plus on produira un code sûr.
    Baser son choix de développement là dessus me paraît donc parfaitement logique.

  3. #3
    Membre extrêmement actif
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Février 2010
    Messages
    615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : Février 2010
    Messages : 615
    Points : 2 824
    Points
    2 824
    Par défaut
    L'article ne se contredit il pas?

    Quel langage de programmation pour le Web est-il plus sécurisé ?
    Le rapport note également qu’avec le temps, la sécurité des applications Web ne s’améliore pas, alors qu’un meilleur travail est effectué dans la correction des bogues. Ce qui montre que les développeurs accordent peu d’importance à la sécurité par rapport aux fonctionnalités et aux performances. .
    Cette deuxième phrase montre bien que le langage lui même n'influence en rien sur la sécurité. C'est bien d'abord les développeurs qu'il faut former aux aspects sécurité.
    Après le langage lui même peut entrer en jeu (0day du langage) mais c'est minoritaire je pense.

  4. #4
    Modérateur
    Avatar de grunk
    Homme Profil pro
    Lead dév - Architecte
    Inscrit en
    Août 2003
    Messages
    6 690
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Côte d'Or (Bourgogne)

    Informations professionnelles :
    Activité : Lead dév - Architecte
    Secteur : Industrie

    Informations forums :
    Inscription : Août 2003
    Messages : 6 690
    Points : 20 211
    Points
    20 211
    Par défaut
    La vulnérabilité la plus répandue est le « cross-site scripting » (XSS), suivie des vulnérabilités d’injection SQL, les fuites d’informations et l’usurpation du contenu des réponses HTTP
    Autant de vulnérabilité qui n'ont rien à voir avec le langage.
    C'est le dévelppeur qui laisse une faille XSS ou une injection SQL , c'est pas le langage.

    Si on parle sécurité des langages je m'attends plutôt à des choses du genre "X utilise tel version de open SSL" "Y ne gère pas les dépassement de mémoire".

    Là on peut au mieux conclure que les développeurs .NET font plus d'erreurs que les autres ...
    Pry Framework php5 | N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  5. #5
    Membre éclairé

    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Mai 2008
    Messages
    200
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mai 2008
    Messages : 200
    Points : 792
    Points
    792
    Par défaut
    D'apres les deux points suivants:
    Dans l’ensemble, WhiteHat Security conclut qu’il n’y avait pas une grande différence dans le nombre de vulnérabilités trouvées parmi les sites utilisant ces différents langages.
    et
    Le rapport note également qu’avec le temps, la sécurité des applications Web ne s’améliore pas, alors qu’un meilleur travail est effectué dans la correction des bogues.
    La question ne devrait pas etre :
    Prenez-vous le paramètre sécurité en compte lors du choix d’un langage de programmation pour un projet ?
    Mais plutôt : Mettez-vous en œuvre les politiques de sécurité proposées par les éditeurs? Car, en termes de sécurité, les différents langages sont pratiquement au même niveau. Donc, ce qu’il reste à faire c’est choisir un langage et s’assurer que les best pratices de sécurité sont respectées.
    Ingénieur Recherche et Développement en informatique à Sopra

    Page perso developpez : http://armel-ndjobo.developpez.com/
    Suivez moi sur twitter : ndjobo

  6. #6
    Expert confirmé Avatar de Zefling
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2007
    Messages
    1 167
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Avril 2007
    Messages : 1 167
    Points : 4 647
    Points
    4 647
    Par défaut
    Le plus grosses failles ne sont pas celle du langage, mais celles laissées par les dévs. Quand on voit que la sécurité, c'est le dernier des soucis de certains boîtes. On m'a même sorti une fois « on corrigera si ça pose problème » parce qu'il n'y avait aucun test sur les données d'entrée.

    Le contrôle de données reste souvent le plus gros du boulot sur applis web, temps qu'on préfère faire passer en nouvelles fonctionnalités tout aussi trouées.

  7. #7
    Membre régulier
    Inscrit en
    Juin 2010
    Messages
    23
    Détails du profil
    Informations forums :
    Inscription : Juin 2010
    Messages : 23
    Points : 96
    Points
    96
    Par défaut
    Quel langage de programmation pour le Web est-il plus sécurisé ?
    Après la lecture de l'article, je pense que le titre devrait plutôt être : Quel langage de programmation pour le Web est-il le plus utilisé par les développeurs mettant en oeuvre les bonnes pratiques de sécurité ?

    Comme le disent les commentaires précédent, le langage en soit n'y est pas pour grand chose.
    Une étude plutôt sur les sécurités internes des frameworks populaires de chacun des langages aurait été plus intéressante. (et non les failles laissées/créées par les développeurs utilisant les dits framework).

  8. #8
    Nouveau Candidat au Club
    Homme Profil pro
    Lycéen
    Inscrit en
    Avril 2014
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Lycéen

    Informations forums :
    Inscription : Avril 2014
    Messages : 1
    Points : 1
    Points
    1
    Par défaut
    Pour moi, les langages utilisés qui sont les plus populaires prouvent de A à Z qu'ils possèdent une sécurité normale.
    Après même si le langage joue un peu sur la sécurité d'un site ou d'une app web, le développeur est surtout le plus gros facteur risque de la sécurité d'un développement.
    Code mal structuré avec peut-être des failles, des back doors et j'en passe, c'est surtout à cause de nous.

    Donc pour ma part j'utilise n'importe quel langage, après la mise à jour la plus récente est la meilleure, puisque les anciens bugs sont en partie réglés ( Je parle pas de Microsoft hein )

  9. #9
    Membre habitué

    Profil pro
    Inscrit en
    Janvier 2007
    Messages
    125
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Janvier 2007
    Messages : 125
    Points : 175
    Points
    175
    Par défaut
    C'est une question de connaissances et d'expérience de l'équipe de développement. C'est aussi une question de plateforme et de choix technologiques.

    Pour donner un exemple, dans une application Java EE 6 ou 7, avec JPA et uniquement des requêtes type-safe CriteriaBuilder, il n'y a pas d'injection sql. Je sais que je n'en ai pas dans mes applications. Je pourrais citer d'autres exemples sur plusieurs aspects technologiques. Cela ne m'empêche tout de même pas de savoir ce qu'est une injection sql et de maîtriser les aspects sécurité, sans quoi je pourrais difficilement exploiter la plateforme à 100 %. Ce n'est donc pas juste le langage : rien ne m'empêche de concaténer des bouts de chaînes et de gérer des des requêtes à la main et d'arriver à faire une injection sql en Java, mais ce n'est pas l'idée de la plateforme. En ne réinventant pas la roue, en évitant les 50 frameworks dont la démo a l'air bien mais qui manquent d'une spécification solide, en utilisant les outils matures et standardisés, j'arrive facilement à une situation où j'ai une application sûre avec un minimum d'effort. Peu de plateformes permettent ça, en passant, il y a un sérieux choix à faire, bien plus que celui du langage.

  10. #10
    Modérateur

    Avatar de kOrt3x
    Homme Profil pro
    Technicien Informatique/Webmaster
    Inscrit en
    Septembre 2006
    Messages
    3 650
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Technicien Informatique/Webmaster
    Secteur : Santé

    Informations forums :
    Inscription : Septembre 2006
    Messages : 3 650
    Points : 15 771
    Points
    15 771
    Par défaut
    Pour moi tout les langages sont vulnérables, c'est surtout le développeur qui écrit le code qui les rendent encore plus vulnérables.
    La rubrique Mac
    Les cours & tutoriels Mac
    Critiques de Livres Mac & iOS
    FAQ Mac & iOS

    ________________________________________________________________________
    QuickEvent : Prise de rendez-vous rapide pour iPhone/iPad et iPod Touch (AppStore)
    Mon Livre sur AppleScript : AppleScript: L'essentiel du langage et de ses applications

  11. #11
    Membre chevronné
    Avatar de la.lune
    Homme Profil pro
    Directeur Technique
    Inscrit en
    Décembre 2010
    Messages
    545
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Comores

    Informations professionnelles :
    Activité : Directeur Technique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Décembre 2010
    Messages : 545
    Points : 2 084
    Points
    2 084
    Par défaut
    En tout cas quand on développe un site en ASP.Net on est plutôt centrés sur Visual Studio que sur la platforme .NET elle même, ce n'est pas comme si je développe en PHP ou en Java EE. Développer un site en ASP.NET comme en php c'est signer la mort du projet avant même de commencer.

    Tellement que tout est servi, même tout ce qui est gestion des utilisateur, la gestion d'authentification on se soucie même pas, tout est sur Visual Studio, quelques paramétrages et on glisse on dépose, du coup bien fait à la Microsoft et on est mieux servi que par soi même. Je ne me soucie même pas de ce qui se passe.

    Il n y a pas milles environnement de développement pour .NET comme c'est le cas en java, php et autres.

    Du coup je me demande qu’après avoir payé autant d'argent pour toute la platforme et les outils pour quelque chose déjà servi et après on met au même pied d'égalité avec le monde de l'open source et des sites qui sont abondamment destiné à Linux là où même si .NET est supporté par Mono, mais pour que pourcentage de site 2%, 3% et ne me dit pas que Microsot quand il apporte des correctifs au vulnérabilité il distribue tous les patch à Xamarin. Encore on est mieux servi que par soi même.

    Ainsi, après tout ça si .NET n'avait pas afficher de bonne résultat, j'aurais dis à quoi bon de payer autant d'argent, vaut mieux faire de l'open source, chaque chose à un prix. Si je peux trouver des outils qui gèrent l'authentification en php, mais faites par qui? lequel est bon? comment bien l'utiliser. Par contre en .NET presque tout est standardisé. Ainsi, pour moi ces résultats n'ont rien n'avoir avec la sécurité du langages mais plutôt la platforme web le mieux servi parce qu'on paye.

  12. #12
    Expert éminent
    Avatar de Immobilis
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Mars 2004
    Messages
    6 559
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : Mars 2004
    Messages : 6 559
    Points : 9 506
    Points
    9 506
    Par défaut
    Salut,

    Quel langage de programmation pour le Web est-il plus sécurisé ?
    ASP et .Net ne sont pas des langages... L'ASP est l'ASP3 (si on fait la différence avec l'ASP.Net), une technologie sortie en 2000 (d'après Wikipedia)! Soit le journaliste de Marketwatch n'a rien compris soit ceux de la WhiteHat Security sont nuls. Je penche pour la première option. Ceci dit la compagnie WhiteHat Security est une société privée qui vend des prestations de services. Son objectif n'est peut-être pas d'être précise dans ses affirmations mais juste de faire peur pour qu'on les appelle au secours...

    Développer un site en ASP.NET comme en php c'est signer la mort du projet avant même de commencer
    Ca c'est juste une pensée primaire illustrée par
    du coup bien fait à la Microsoft
    C'est du même niveau que ceux qui disent qu'il n'y a pas de failles sur Chrome, Linux ou les applications Apple ou encore que le SI de la CIA est une forteresse imprenable. Et puis je suis certain que tu as créé ton propre environnement de développement et que tu ne rédiges qu'avec Notepad.

    Les questions intéressantes à mon avis:

    1. Quelle est la place de la sécurité dans les projets de développement?
      1. Y a-t-il eu une phase d'expertise de la sécurité (réseau, architecture, matériel, logicielle, développement) à la conception, pendant le développement, avant/après livraison?
      2. Quel proportion de l'investissement la sécurité représente-t-elle?

    2. Les développeurs sont-ils correctement instruits des bonnes pratiques de sécurité liées au développement d'application Internet/Intranet?
    3. Y a-t-il un/des responsable(s) technique(s) sur le projet?
    4. De quelles failles de sécurité connues le Framework utilisé protège-t-il?
    5. Combien la société X aurait économisé en ayant fait une analyse de son code pour vérifier qu'il résistait aux injections SQL?
    6. ...


    Mais c'est moins vendeur...

    A+
    "Winter is coming" (ma nouvelle page d'accueil)

  13. #13
    Membre chevronné
    Avatar de la.lune
    Homme Profil pro
    Directeur Technique
    Inscrit en
    Décembre 2010
    Messages
    545
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Comores

    Informations professionnelles :
    Activité : Directeur Technique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Décembre 2010
    Messages : 545
    Points : 2 084
    Points
    2 084
    Par défaut
    Citation Envoyé par Immobilis Voir le message
    Ca c'est juste une pensée primaire illustrée par C'est du même niveau que ceux qui disent qu'il n'y a pas de failles sur Chrome, Linux ou les applications Apple ou encore que le SI de la CIA est une forteresse imprenable.
    Qui a dit qu'il n y a pas de failles sur .NET, qui a dit qu'aucun site .Net ne peut pas contenir des failles, ce que je veux en venir c'est tout simplement que les gens qui sont fait ses statistiques se sont pas basés sur des sites existant sur le marché et veulent faire des comparaison.
    Cette méthode n'est pas du tout scientifique, car il faut toujours prendre en compte les outils mise à la disposition du développeur pour atteindre son but, je peux créer un site en php plus sécurisé qu'un site en C# sur .Net.

    Mais soyons logiques, on ne mesure pas la sécurité d'une plateforme ou d'un langage en regardant les produits pondus avec ses technologies par n'importe qui sur n'importe où, mais on se base sur une étude directe de la techno dans sa profondeur et on découvre les failles, si la plateforme ne met pas à la disposition des outils standard de sécurisation.

    Si vous voulez vous basez sur les produits pondus, et faire une vraie analyse, il faut amener un vrai expert dans chaque plateforme et leurs fixer tous un objectif unique a atteindre avec chacun sa techno, et amener des hacker pour hacker tous produits et voir, si un expert ne trouve pas ce dont il a besoin pour sécurisé son produit alors là on peut dire qu'une technologie est moins sécurisé que l'autre.

    Mais tant que ce qu'il faut est là, pour chiffrer les données, ne pas laisser banalement la porte aux injections SQL, savoir bien utiliser les protocole https, ssh et tous les techno de sécurisation.... c'est que la plateforme est complet, c'est dans ce sens que je parle. Facebook est codé en php, il est bien sécurisé et je ne dis pas qu'il n'a jamais de faille, mais je peux trouvé un si en .Net pourrit, est ce que je peux dire que php est mieux sécurisé que .Net?

    Citation Envoyé par Immobilis Voir le message
    Et puis je suis certain que tu as créé ton propre environnement de développement et que tu ne rédiges qu'avec Notepad.
    Le problème c'est que tu mélanges entre Environnement de Développement Intégré(EDI) et outils RAD. Visual Studio mélange les deux, et il offre des Control de plus que les Control standard de la plateforme. Moi j'ai développé pour .NET , Php, et Java EE et franchement je n'ai jamais trouvé un environnement qui me permet de glisser déposer un composant pour la gestion de l'authentification toute faite qu'en ASP.Net sur Visual Studio.

    Je ne dis pas qu'il n y a des framwork pour gérer ça, même en Java EE il a le standard JSF qui peut permettre de bien gérer ça, mais on glisse pas et on dépose toute faite, il faut plonger dans des fichiers XML pour gérer la configuration manuellement.

    Peux-tu enseigner à utiliser les "Services d'application cliente" de .Net en dehors de Visual Studio? Faciliter la gestion des utilisateurs, la connexion, créer des rôles, gérer les paramètres des utilisateur tout ça sans utiliser Visual Studio? La documentation officielle de Microsoft expose ses technos étroitement liés à Visual Studio, des image par ici par là sur comment les utiliser.

    Qui par exemple a vu un jour la documentation officielle de Java EE présenter des technos en se basant sur Netbeans, Eclipse, ou IntelliJ IDEA? Qui a vu un jour un IDE qui offre la possibilité de glisser un composant et déposer pour Php, et toute la connexion en Ajax même tout géré.

    Il ne faut pas oublier que les statistiques prouvent que la majorité des boites ne mettent même pas en place un processus de gestion de la sécurité dans le leur projet de développement.

    Si un développeur trouve ce qu'il faut, déjà fait pour gérer, en partie, la sécurité sans se soucier alors qu'un autre souffre dans une autre techno pour le réaliser, cela n'a rien n'avoir avec le fond des technologies. Moi je vois que cette actualité est un bon troll lancé, qui n'a rien n'avoir avec le fond des plateformes web.

    Aucun lagunage n'est mieux en sécurité que l'autre, il y a des gens qui codent avec les pieds, il a ceux qui sont déjà servis, il y a ceux qui ont besoin d'un peut de temps et de connaissance pour réaliser ce que certains font en 2 minuties après avoir payés pour ça.

    Moi je suis cartésien 1+1=2, il faut mesurer les techno elles même si vous voulez faire des statistiques. Ce qui m'étonne ce sont ceux qui m'ont donné les -6 sans se poser un peu la question que cette étude n'est pas du tout scientifique.

  14. #14
    Nouveau Candidat au Club
    Homme Profil pro
    étudiant
    Inscrit en
    Avril 2014
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : France

    Informations professionnelles :
    Activité : étudiant

    Informations forums :
    Inscription : Avril 2014
    Messages : 5
    Points : 0
    Points
    0
    Par défaut
    En même temps si les dev utilisent des technologies comme java et .net... Pas vraiment besoin d'une étude pour comprendre qu'ils se contrefoutent de la sécurité de leur production.

  15. #15
    Expert confirmé
    Avatar de Katyucha
    Femme Profil pro
    DevUxSecScrumOps Full Stack Bullshit
    Inscrit en
    Mars 2004
    Messages
    3 287
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Irlande

    Informations professionnelles :
    Activité : DevUxSecScrumOps Full Stack Bullshit

    Informations forums :
    Inscription : Mars 2004
    Messages : 3 287
    Points : 5 075
    Points
    5 075
    Par défaut
    Cobol ....

    Troll inside


    Comme dit par les collègues, la plus grosse faille, c'est le développeur. Et la meilleure solution, c'est aussi le développeur.
    Grave urgent !!!

  16. #16
    Expert éminent
    Avatar de Immobilis
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Mars 2004
    Messages
    6 559
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : Mars 2004
    Messages : 6 559
    Points : 9 506
    Points
    9 506
    Par défaut
    Est-ce que les langages qui permettent un typage implicite (à l'affectation) ne sont pas moins sécurisés?
    "Winter is coming" (ma nouvelle page d'accueil)

  17. #17
    Membre éprouvé
    Avatar de JPBruneau
    Homme Profil pro
    retraité
    Inscrit en
    Août 2019
    Messages
    202
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : retraité
    Secteur : Conseil

    Informations forums :
    Inscription : Août 2019
    Messages : 202
    Points : 916
    Points
    916
    Par défaut
    J'enfonces le clous ! les langages tel que PHP sont pratiquement inviolable, ce sont les serveurs qui le sont.
    Je vois des très gros sites qui ont des trous béants !
    Donc OUI de sont les Apaches et autres qui souvent ouvrent leur porte.

    Je prends un exemple simple qui peut écrire même en s'infiltrant dans un de mes PHP si TOUT le site est en lecture seule ??
    Et bien mes sites sont ainsi et avant de faire (la nuit en général une mise à jour, je fais débloquer juste une heure l'écriture via mon FTP ...
    Pensez bien à cela et bien sur:

    1)
    TOUT les répertoires et sous répertoires on un index.php
    Code php : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    <?php
     header('Location:http://www.xxxx.com.com/');
     exit;
    ?>

    2)
    TOUT mes php maîtres ont

    Code php : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    <?php
    $totoxx="xx";
    /* _________puis mon code compris les includes _______________  */
    ?>

    3)
    Et donc TOUT les include ont

    Code php : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    <?php
    <?PHP
    if (!isset($totoxx))
     {
     echo '<meta http-equiv="refresh" content="0;URL=http://www.xxxx.com/index.php">';
     exit;
     }
     header('Content-Type: text/html; charset=utf-8');
    ?>

    Pas parfait mais allez tester mes sites ... bon courage...

    Citation Envoyé par Immobilis Voir le message
    Est-ce que les langages qui permettent un typage implicite (à l'affectation) ne sont pas moins sécurisés?
    Houla le tiens il craint avec d'entrée de jeux six erreurs

    Mixed Content: The page at 'https://immobilis.developpez.com/index.php#debut' was loaded over HTTPS, but requested an insecure stylesheet 'http://www.developpez.com/template/kit/article.css'. This request has been blocked; the content must be served over HTTPS.
    index.php:22 Mixed Content: The page at 'https://immobilis.developpez.com/index.php#debut' was loaded over HTTPS, but requested an insecure stylesheet 'http://immobilis.developpez.com/css/got3.css'. This request has been blocked; the content must be served over HTTPS.
    24A cookie associated with a cross-site resource at <URL> was set without the `SameSite` attribute. A future release of Chrome will only deliver cookies with cross-site requests if they are set with `SameSite=None` and `Secure`. You can review cookies in developer tools under Application>Storage>Cookies and see more details at <URL> and <URL>.
    index.php:1 Mixed Content: The page at 'https://immobilis.developpez.com/index.php#debut' was loaded over HTTPS, but requested an insecure script 'http://www.google-analytics.com/urchin.js'. This request has been blocked; the content must be served over HTTPS.
    index.php:1118 Uncaught ReferenceError: urchinTracker is not defined
    at index.php:1118
    index.php:1 A cookie associated with a resource at http://google.com/ was set with `SameSite=None` but without `Secure`. A future release of Chrome will only deliver cookies marked `SameSite=None` if they are also marked `Secure`. You can review cookies in developer tools under Application>Storage>Cookies and see more details at https://www.chromestatus.com/feature/5633521622188032.
    index.php:1 [DOM] Input elements should have autocomplete attributes (suggested: "current-password"): (More info: https://goo.gl/9p2vKq) <input type=​"password" class=​"form_input form-control" id=​"formpassConnexionMobile">​
    index.php:1 Mixed Content: The page at 'https://immobilis.developpez.com/index.php#debut' was loaded over HTTPS, but requested an insecure stylesheet 'http://www.developpez.com/template/kit/article.css'. This request has been blocked; the content must be served over HTTPS.
    index.php:1 Mixed Content: The page at 'https://immobilis.developpez.com/index.php#debut' was loaded over HTTPS, but requested an insecure stylesheet 'http://immobilis.developpez.com/css/got3.css'. This request has been blocked; the content must be served over HTTPS.
    plein de insecure stylesheet

  18. #18
    Membre extrêmement actif
    Avatar de Sodium
    Femme Profil pro
    Développeuse web
    Inscrit en
    Avril 2014
    Messages
    2 324
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeuse web

    Informations forums :
    Inscription : Avril 2014
    Messages : 2 324
    Points : 2 006
    Points
    2 006
    Billets dans le blog
    1
    Par défaut
    Citation Envoyé par JPongivart Voir le message
    TOUT les répertoires et sous répertoires on un index.php
    Code php : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    <?php
     header('Location:http://www.xxxx.com.com/');
     exit;
    ?>
    La bonne méthode est qu'un seul répertoire hors assets soit accessible à l'utilisateur. Pour le reste je n'ai pas trop compris l'intérêt, mais ça ressemble plutôt à du bricolage.

Discussions similaires

  1. Quel langage de programmation pour le Web est-il plus sécurisé ?
    Par Hinault Romaric dans le forum Actualités
    Réponses: 14
    Dernier message: 25/04/2014, 12h38
  2. quel langage de programmation pour traitement d'image
    Par nano8308 dans le forum Traitement d'images
    Réponses: 8
    Dernier message: 02/02/2011, 10h44
  3. Votre avis : Quel langage de programmation pour développer ce programme ?
    Par julien.nasser dans le forum Langages de programmation
    Réponses: 8
    Dernier message: 28/11/2008, 10h43
  4. Quel langage de programmation pour ce projet?
    Par yongblood dans le forum Windows
    Réponses: 6
    Dernier message: 11/01/2007, 02h41
  5. Quel langage de programmation pour des programmes simples ?
    Par Pierre.g dans le forum Langages de programmation
    Réponses: 18
    Dernier message: 22/11/2006, 15h22

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo