Vous avez envie de contribuer au sein du Club Developpez.com ?
Vous êtes passionné, vous souhaitez partager vos connaissances en informatique, vous souhaitez faire partie de la rédaction.
Il suffit de vous porter volontaire et de nous faire part de vos envies de contributions :
Rédaction d'articles/cours/tutoriels, Traduction, Contribution dans la FAQ, Rédaction de news, interviews et témoignages, Organisation de défis, de débats et de sondages, Relecture technique, Modération, Correction orthographique, ...etc.
Vous avez d'autres propositions de contributions à nous faire ? Vous souhaitez en savoir davantage ? N'hésitez pas à nous approcher.
Entièrement d'accord. Après le fait qu'avec ces plateformes et historiquement, on devait manipuler "manuellemen" bien plus les requêtes, la génération du contenu, etc. alors que sur d'autres plateformes (à minima Java) l'utilisation de framework a toujours été de rigueur. Et donc on est moins exposé quand c'est le framework qui gère.
Pour continuer dans ton idée précédente, on pourra noter qu'il y aura une proportion plus importante de site amateur que de site pro sur les technos type PHP que sur Java/.Net. Les besoins matériels et logiciels en hébergement sont moins onéreux sur les premiers que les seconds.
Afin d'être précis, Java est d'abord une marque et donc propriétaire. Autrement, Java est également une "plateforme" (certains diront technologie) dont la spécification est bien propriétaire. L'OpenJDK n'est qu'une implémentation open-source des outils de développements (notemment le compilateur mais pas que) et de l'environnement d'exécution.
Ceci étant 90% (chiffres à la grosse louche marseillaise, mais un minimum de 65-75% ne me semble pas déconnant) des études sont là pour nous vendre un truc. Et ca sent tout de même le souhait de nous vendre un truc mais je parierai plus pour des outils d'analyses ou de sécurité que de plateformes logicielles.
Java : Cours et tutoriels - FAQ - Java SE 8 API - Programmation concurrente
Ceylon : Installation - Concepts de base - Typage - Appels et arguments
ECM = Exemple(reproduit le problème) Complet (code compilable) Minimal (ne postez pas votre application !)
Une solution vous convient ? N'oubliez pas le tag
Signature par pitipoisson
Pour l'injection SQL, non, c'est purement un problème de code. Le fait d'être déployé dans le cloud ou pas n'y change absolument rien.
(pour les attaques XSS je suppose que c'est vrai aussi, mais ce n'est pas trop mon domaine)
Tout à fait ! En fait c'est à peu près ce que je voulais exprimer, mais tu l'as beaucoup mieux formulé que moi.
Pas de questions techniques par MP ! Le forum est là pour ça...
Tutoriels : Les nouveautés de C# 6 - Accès aux données avec Dapper - Extraction de données de pages web à l'aide de HTML Agility Pack - La sérialisation XML avec .NET (Aller plus loin) - Les markup extensions en WPF
J'ai dû bloquer avant hier un "ami" sur FB qui n'arrêtait pas de tagguer tous les "amis" de sa liste sur des publications foireuses. Je n'ai pas cliqué dessus, suis pas assez blonde. Au moment où Mme Tout-le-Monde crée un profile sur FB (ou un blog sur WordPress) pour partager ses recettes de cuisine ou les photos de ses chats : elle n'est pas censée à connaître PHP, ni quoi que ce soit au sujet des injections SQL.
Personne ne vous a demandé d'abandonner PHP, mais d'être prudent.
Chaque fois que tu dis "je ne peux pas", n'oublie pas d'ajouter le mot "encore".
Il y en a quand même qui essaient de sécuriser leur application de fin d'études par une authentification mutuelle à base de certificats X.509 et en chiffrant les mots de passe (bien qu'on leur a pas enseigné à faire cela) et qui ne trouvent toujours pas du travail, car peu expérimentés, pas sûr qu'ils savent travailler en équipe, etc.
Chaque fois que tu dis "je ne peux pas", n'oublie pas d'ajouter le mot "encore".
Ce n'est pas le langage qui a une faille mais le développeur.
du cross-site scripting en C et C++ ?!! WTF l'admin de l'appli visée a laissé un accès ftp anonyme ouvert, mis un LUA intégré à Nginx ou il a mailé les sources?
non là je vois pas le rapport
mais ces experts sont experts en quoi? (à moins que ce soit le résumé du rapporteur qui explique mal)
On parle de quoi comme vulnérabilités et on mélange tout? parce que dans ce cas je tire mon chèquier à celui qui fait du sql inject dans le code de Paint parce que mémé elle se roule dans les orties là....
Et parallèlement, c'est pas sur les langages sur qui il faut tiré à boulet rouge mais sur le boulet entre le clavier et l'écran... fainéant, va! Et la marmotte elle fait quoi la marmotte? c'est le langage de Willy wonka qu'il faut, il fait tout et il a tout même plus besoin de programmeur en fait... (mon tit doigt que le père noël est jaloux). Si il y a fonction qui est faiblarde ou qui manque bin on arrête de mater des vidéos de chats péteurs sur youtube et on s'y colle.
L'idée même de changer de langage après un piratage c'est énorme .... très marketing en fait
La seule question à se poser est : qui aura une nouvelle piscine cet été grâce à cette étude ? Le PDG de Veracode, le responsable commercial, ou quelqu'un d'autre ?[/QUOTE] les avocats de Larry Ellison qui attaquent en justice quand fait du reverse sur du Java .... Larry a déjà trop de piscine pleine de billet en fait
A travers cet article on comprend aussi pourquoi de nombreuses applications web sont développées en Java EE et non classiquement en PHP/HTML/CSS/Javascript directement. D'ailleurs ces dernières sont utilisées sur la partie front et jamais sur la partie serveur d'une application.
Si j'ai bien compris, pour ma securitE je devais me contenter de java et .NET pour tout faire avec. Notament les sites web?
Je genre de réflexion me fait penser a ceux qui disent que PHP (au niveau syntaxe du code) c'est de la merde, c'est pas performant, c'est dégueulasse...etcSi j'ai bien compris, pour ma securitE je devais me contenter de java et .NET pour tout faire avec. Notament les sites web?
Je reprend ce qui a déjà été dis par certains:
Il faut bien comprendre que PHP est un langage accessible (un langage ou c'est facile à apprendre les bases et surtout très facile a mettre en production sur un serveur mutualisé).
Par conséquent, le nombre d'adepte du PHP et plus important que le java/.net. Et la majorité de ces programmeurs sont des débutants.
Ces débutants font leurs propre site web avec un code mal sécurisé/peu optimisé.
Maintenant comparé un pro PHP et un Pro Java et je suis pas sur que Java/.Net soit réellement plus safe.
Article souffrant d'un gros gros paradoxe :
Il va falloir se décider... Combien de fois on a pu lire - de la part "d'experts" - que PHP était trop facile à programmer ? Et de ce fait quel les mauvais programmeurs (ou débutants) laissaient des failles de sécurité dans leur application...Chris explique en effet que certaines de ces vulnérabilités continuent d’exister du fait que les programmeurs utilisent des langages difficiles à programmer et donc qu'il est difficile de sécuriser le code
En C# ou java, rien "de base" ne sécurise l'application.
Comme d'habitude dans les commentaires on peut lire des choses dépassées en 2015 :
On ne choisi pas un langage parce qu'on va faire un "site" ou un "logiciel". Mais parce que pour les besoins du projet on pense que tel ou tel langage est plus adapté. Ou encore parce qu'on a une équipe plus spécialisée dans le langage X. Ou encore parce que le client a une exigence demandant à ce qu'on utilise le langage X.Si j'ai bien compris, pour ma securitE je devais me contenter de java et .NET pour tout faire avec. Notament les sites web?
Un "site web" est une "application web" comme une autre.
+1 +1 +1 +1 +1 +1 On est d'accord.La seule question à se poser est : qui aura une nouvelle piscine cet été grâce à cette étude ?
.o0o__St@iLeR__oOo.
Lead Developer
ASP.NET MVC - MCP/MCSD ASP.NET
PHP Zend Framework / PhalconPHP
Cordova/Xamarin IOS/Android
Kendo UI - ExtJS - JQwidgets
SQL Server / MySQL
Bonjour,
Personnellement je pense que la seule faille c'est le développeur.
Je ne suis pas d'accord du tout et j'ai un exemple simple :Les langages les moins sécurisé je pense que c'est les langages bas niveau (C, C++ par exemple), car il plus facile pour un pirate de corrompre la mémoire.
le buffer overflow
- en C : il suffit de vérifier l'acces au buffer avec un index et sa taille
- dans un langage de haut niveau tel que Java par exemple tu peux avoir une class system qui a une faille buffer overflow
Dans le cas ou un outil system/natif est vérolé, c'est la responsabilité du développeur de contourner le problème et faire du code correct. (ex : fgets vs scanf)
Après, ce n'est que mon humble avis.
Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
Mes cours/tutoriaux
Java : Cours et tutoriels - FAQ - Java SE 8 API - Programmation concurrente
Ceylon : Installation - Concepts de base - Typage - Appels et arguments
ECM = Exemple(reproduit le problème) Complet (code compilable) Minimal (ne postez pas votre application !)
Une solution vous convient ? N'oubliez pas le tag
Signature par pitipoisson
cet article comme beaucoup est de la pub déguisée pour un service commercial (cf la soit disant source https://info.veracode.com/state-of-s...lume6-pt2.html)
Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
Mes cours/tutoriaux
Ainsi, relecture du code indispensable, et choisir le langage de manière raisonnée selon se que l'on souhaite réellement produire.
Après je reprends l'idée de Paul Toth : Plus de débutant font du PHP que du Java dans le web donc des statistiques en effet sont faussée. Je pense qu'il n'y a pas de langage plus vulnérable qu'un autre : tout vient de la manière de structuré et de codé son programme. Par exemple, il suffit de bien ouvrir ses connections, les libéré (doit dépendre des langages) pour terminer par les fermer. Optimisé ses requêtes SQL aussi ne peut pas faire de mal.
Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
Mes cours/tutoriaux
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager