Discussion :

[dragonjoker59]

Comme mes camarades: il n'y a pas de langages plus ou moins sécurisés, mais de bonnes pratiques à appliquer par les développeurs peu importe la technologie.

Mouais, moi, en tant que développeur C++, je dis qu'il y a quand même des langages qui laissent bien plus de portes ouvertes que d'autres, C et C++ ne fermant pas de portes...

[imikado]

Euh... la plupart des failles que l'on cite sont plus lié au type d'application "web" qu'au langage

Techniquement, une faille xss, xsrf ou SQLi peuvent arriver sur tous les langages

Idem pour le DDoS applicatif

[Mishulyna]

Et avec l'experience, je vois qu'on enseigne pas à l'école la sécurisation des applications

Il y en a quand même qui essaient de sécuriser leur application de fin d'études par une authentification mutuelle à base de certificats X.509 et en chiffrant les mots de passe (bien qu'on leur a pas enseigné à faire cela) et qui ne trouvent toujours pas du travail, car peu expérimentés, pas sûr qu'ils savent travailler en équipe, etc.

[imikado]

Il y en a quand même qui essaient de sécuriser leur application de fin d'études par une authentification mutuelle à base de certificats X.509 et en chiffrant les mots de passe (bien qu'on leur a pas enseigné à faire cela) et qui ne trouvent toujours pas du travail, car peu expérimentés, pas sûr qu'ils savent travailler en équipe, etc.

Ca répond à un problème de sécurité, alors que le Xss, Xsrf , SQLi et null BYte peuvent faire bien plus de mal

[Francis Walter]

Elle a été effectuée en faisant des scans et de l’analyse des codes source de plus de cinquante mille applications sur le cloud.

Ah on a dit le cloud ? Les vulnérabilités ne viennent-elle pas des plateformes cloud elles-même ?

[Cyrilange]

Ce n'est pas le langage qui a une faille mais le développeur.

[lelutin]

du cross-site scripting en C et C++ ?!! WTF l'admin de l'appli visée a laissé un accès ftp anonyme ouvert, mis un LUA intégré à Nginx ou il a mailé les sources?
non là je vois pas le rapport
mais ces experts sont experts en quoi? (à moins que ce soit le résumé du rapporteur qui explique mal)
On parle de quoi comme vulnérabilités et on mélange tout? parce que dans ce cas je tire mon chèquier à celui qui fait du sql inject dans le code de Paint parce que mémé elle se roule dans les orties là....
Et parallèlement, c'est pas sur les langages sur qui il faut tiré à boulet rouge mais sur le boulet entre le clavier et l'écran... fainéant, va! Et la marmotte elle fait quoi la marmotte? c'est le langage de Willy wonka qu'il faut, il fait tout et il a tout même plus besoin de programmeur en fait... (mon tit doigt que le père noël est jaloux). Si il y a fonction qui est faiblarde ou qui manque bin on arrête de mater des vidéos de chats péteurs sur youtube et on s'y colle.
L'idée même de changer de langage après un piratage c'est énorme .... très marketing en fait

[ngthurel]

A travers cet article on comprend aussi pourquoi de nombreuses applications web sont développées en Java EE et non classiquement en PHP/HTML/CSS/Javascript directement. D'ailleurs ces dernières sont utilisées sur la partie front et jamais sur la partie serveur d'une application.

[born to code]

Si j'ai bien compris, pour ma securitE je devais me contenter de java et .NET pour tout faire avec. Notament les sites web?

[RyzenOC]

Si j'ai bien compris, pour ma securitE je devais me contenter de java et .NET pour tout faire avec. Notament les sites web?

Je genre de réflexion me fait penser a ceux qui disent que PHP (au niveau syntaxe du code) c'est de la merde, c'est pas performant, c'est dégueulasse...etc

Je reprend ce qui a déjà été dis par certains:

Il faut bien comprendre que PHP est un langage accessible (un langage ou c'est facile à apprendre les bases et surtout très facile a mettre en production sur un serveur mutualisé).

Par conséquent, le nombre d'adepte du PHP et plus important que le java/.net. Et la majorité de ces programmeurs sont des débutants.
Ces débutants font leurs propre site web avec un code mal sécurisé/peu optimisé.

Maintenant comparé un pro PHP et un Pro Java et je suis pas sur que Java/.Net soit réellement plus safe.

[0xNoob]

Bonjour,

Personnellement je pense que la seule faille c'est le développeur.

Les langages les moins sécurisé je pense que c'est les langages bas niveau (C, C++ par exemple), car il plus facile pour un pirate de corrompre la mémoire.

Je ne suis pas d'accord du tout et j'ai un exemple simple :
le buffer overflow
- en C : il suffit de vérifier l'acces au buffer avec un index et sa taille
- dans un langage de haut niveau tel que Java par exemple tu peux avoir une class system qui a une faille buffer overflow

Dans le cas ou un outil system/natif est vérolé, c'est la responsabilité du développeur de contourner le problème et faire du code correct. (ex : fgets vs scanf)

Après, ce n'est que mon humble avis.

[imikado]

Ils le font parce que Php permet cela. CQFD

Le Xss,Xsrf, SQLi et nullbyte ne sont pas une exclu de PHP

[Aooka]

Ainsi, relecture du code indispensable, et choisir le langage de manière raisonnée selon se que l'on souhaite réellement produire.
Après je reprends l'idée de Paul Toth : Plus de débutant font du PHP que du Java dans le web donc des statistiques en effet sont faussée. Je pense qu'il n'y a pas de langage plus vulnérable qu'un autre : tout vient de la manière de structuré et de codé son programme. Par exemple, il suffit de bien ouvrir ses connections, les libéré (doit dépendre des langages) pour terminer par les fermer. Optimisé ses requêtes SQL aussi ne peut pas faire de mal.

[imikado]

Tu as entièrement raison : il font cela parce c'est le Php qui permet d'avoir le plus facilement ce genre de problème.

Voilà c'est mieux, désolé.

J'ai toujours pas compris le rapport avec le langage: ce genre de faille est courant dans le WEB: peu importe la technologie

Cast ou pas cast, typé, fortement typé ou autre, peu importe, ces failles touches TOUTES les languages web

C'est une faille applicative et non technique

[dukoid]

Tu as entièrement raison : il font cela parce c'est le Php qui permet d'avoir le plus facilement ce genre de problème.

Voilà c'est mieux, désolé.

n'importe quoi, les failles en sont pas liés aux langages : php, python ...... ça n'as vraiment mais VRAIMENT AUCUN RAPPORT.
la plupart des failles viennent du serveur, d'une mise à jour.... et donc c'est quoi le rapport avec le langage interprété ?

[dukoid]

voire n'ont aucune expérience, voire les deux

pourquoi tu m'insultes ? j'ai rien dit de mal

[stailer]

Article souffrant d'un gros gros paradoxe :

Chris explique en effet que certaines de ces vulnérabilités continuent d’exister du fait que les programmeurs utilisent des langages difficiles à programmer et donc qu'il est difficile de sécuriser le code

Il va falloir se décider... Combien de fois on a pu lire - de la part "d'experts" - que PHP était trop facile à programmer ? Et de ce fait quel les mauvais programmeurs (ou débutants) laissaient des failles de sécurité dans leur application...
En C# ou java, rien "de base" ne sécurise l'application.

Comme d'habitude dans les commentaires on peut lire des choses dépassées en 2015 :

Si j'ai bien compris, pour ma securitE je devais me contenter de java et .NET pour tout faire avec. Notament les sites web?

On ne choisi pas un langage parce qu'on va faire un "site" ou un "logiciel". Mais parce que pour les besoins du projet on pense que tel ou tel langage est plus adapté. Ou encore parce qu'on a une équipe plus spécialisée dans le langage X. Ou encore parce que le client a une exigence demandant à ce qu'on utilise le langage X.
Un "site web" est une "application web" comme une autre.

La seule question à se poser est : qui aura une nouvelle piscine cet été grâce à cette étude ?

+1 +1 +1 +1 +1 +1 On est d'accord.

[Thorien]

cet article comme beaucoup est de la pub déguisée pour un service commercial (cf la soit disant source https://info.veracode.com/state-of-s...lume6-pt2.html)

[oxedet]

@sergeobee
Chut... il y a probablement des accords business avec l'auteur de l'étude, mais il ne faut pas l'évoquer ici ;-) J'ai déjà été (mal) tagué parce que j'avais osé évoquer ce genre de chose dans une autre étude...

[heinquoi]

Il n'est pas fait mentions de l'emplacement de la faille. Cela fait pourtant la différence. Le code d'un site ou le code des lib utilisées par de nombreux sites. La différence est énorme. Un pirate préféra chercher des failles dans des lib puisqu'elle peuvent être utilisé sur plusieurs sites. Ce qui est beaucoup plus efficace pour le pirate. Et la ceux qui ont plus de 10 ans d’expériences se souviennent que justement Java et asp étaient les champions ... Ceci explique cela ...