Bonjour,
Je suis un peu perdu avec toutes les versions différentes que j'entends concernant des questions que je me pose sur la sécurité web.
Déjà, je sais qu'on peut jouer avec la console pour modifier l'affichage client, HTML/CSS, je sais également qu'on peut appeler des requêtes webservice quant on le souhaite, faire des injections sql avec les inputs...
Les questions que je me pose encore:
→ Peut-on modifier un script JS côté client ? Peut-on exécuter des fonctions lorsqu'on le souhaite ?
Exemple: Imaginons la fonction suivante dans mon service Angular:
→ Est-ce que l'utilisateur pourrait changer la valeur d'un paramètre ? Et du coup est-ce que l'utilisateur pourrait l'exécuter la lancer lui-même (en manipulant la console ou je ne sais quoi) ?
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3 setCharacter(playerId: string, character: string){ firebase.database().ref("characters").child(`${playerId}/character`).update(character); }
→ Si tout ça est possible quel est l'intérêt d'utiliser rxjs pour faire des updates, exemple:
On pourrait modifier this.books et donc enregistrer n'importe quoi ?
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3 saveBooks() { firebase.database().ref('/books').set(this.books); }
Un ami me dit que l'utilisateur peut absolument tout faire côté client et un autre me dit qu'il n'est pas possible d'aller jusque là, donc je suis confus. Mon objectif est d'avoir conscience de ce qui est possible de faire côté client et donc de bien gérer ma sécurité !
Si quelqu'un pouvait me remettre les idées au claire, je lui serai éternellement reconnaissant
Merci d'avance !
Partager