Discussion :

[Cursed]

Bonjour,

Je suis un peu perdu avec toutes les versions différentes que j'entends concernant des questions que je me pose sur la sécurité web.

Déjà, je sais qu'on peut jouer avec la console pour modifier l'affichage client, HTML/CSS, je sais également qu'on peut appeler des requêtes webservice quant on le souhaite, faire des injections sql avec les inputs...

Les questions que je me pose encore:

→ Peut-on modifier un script JS côté client ? Peut-on exécuter des fonctions lorsqu'on le souhaite ?

Exemple: Imaginons la fonction suivante dans mon service Angular:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
setCharacter(playerId: string, character: string){
    firebase.database().ref("characters").child(`${playerId}/character`).update(character);
}

→ Est-ce que l'utilisateur pourrait changer la valeur d'un paramètre ? Et du coup est-ce que l'utilisateur pourrait l'exécuter la lancer lui-même (en manipulant la console ou je ne sais quoi) ?

→ Si tout ça est possible quel est l'intérêt d'utiliser rxjs pour faire des updates, exemple:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
saveBooks() {
    firebase.database().ref('/books').set(this.books);
}

On pourrait modifier this.books et donc enregistrer n'importe quoi ?


Un ami me dit que l'utilisateur peut absolument tout faire côté client et un autre me dit qu'il n'est pas possible d'aller jusque là, donc je suis confus. Mon objectif est d'avoir conscience de ce qui est possible de faire côté client et donc de bien gérer ma sécurité !

Si quelqu'un pouvait me remettre les idées au claire, je lui serai éternellement reconnaissant
Merci d'avance !

[psychadelic]

Un ami me dit que l'utilisateur peut absolument tout faire côté client et un autre me dit qu'il n'est pas possible d'aller jusque là, donc je suis confus. Mon objectif est d'avoir conscience de ce qui est possible de faire côté client et donc de bien gérer ma sécurité !

oui, un internaute peut "tout faire" coté client, mais uniquement "coté client" (pas "coté serveur" )

un site Internet, c'est un systeme fonctionnant en mode Clients / Serveurs.

Quand un internaute se "branche" sur site X, ou Y, c'est un serveur qui lui répond.
La réponse du Serveur c'est une page internet qui contient du HTML, du CSS, du JavaScript.

Cette page est juste une copie temporaire de ce que le serveur veut bien donner.
C'est une copie.
sur cette copie l'internaute peut faire ce qu'il veut
changer la présentation CSS au travers d'outils ou directement avec le déboggeur du navigateur, idem pour le code JavaScript.
Tout ça ne peut se passer que coté client et sur la copie. pas sur le serveur.

[Marco46]

faire des injections sql avec les inputs

Normalement non. Côté serveur il doit y avoir un contrôle pour empêcher les injections. Les requêtes SQL sont constituées par le serveur pas par le client qui ne fait que transmettre des paramètres.

Et du coup est-ce que l'utilisateur pourrait l'exécuter la lancer lui-même (en manipulant la console ou je ne sais quoi) ?

Firebase abstrait la partie service http. Tu ne manipules pas directement la base de données même si tu manipules un objet nommé database. Ca passe sur http tu n'es pas connecté directement à une base de données.

Si tout ça est possible quel est l'intérêt d'utiliser rxjs

RxJs ne sert pas à manipuler une base de données ça sert à gérer l'asynchronisme de ton appli front (les I/O).

On pourrait modifier this.books et donc enregistrer n'importe quoi ?

Je ne connais pas très bien firebase mais j'imagine qu'il est possible dans la config de la "firebase" d'instaurer des contrôles d'intégrité des données comme tu le ferais avec une stack classique.

Un ami me dit que l'utilisateur peut absolument tout faire côté client

Oui cet ami a raison. L'inverse n'aurait aucun sens. Tu ne peux pas empêcher (réellement) un utilisateur de faire ce qu'il veut sur une machine dont il est administrateur. Les contrôles à la saisie côté browser ne sont qu'une aide à la saisie rien de plus.

un autre me dit qu'il n'est pas possible d'aller jusque là, donc je suis confus. Mon objectif est d'avoir conscience de ce qui est possible de faire côté client et donc de bien gérer ma sécurité !

La sécurité se gère côté serveur. Il y a quelques éléments dont il faut tenir compte côté client néanmoins pour empêcher le cross site scripting (en gros un utilisateur qui ferait une saisie qui apparaîtrait ensuite sur le site et qui permettrait d'injecter du code JavaScript de sa main). Beaucoup plus de détails ici (mais probablement un peu hard pour démarrer).

[Cursed]

Merci pour ces premiers retours.

Je sais bien-sûr que la sécurité doit se gérer côté serveur, ce qui me perturbe je pense c'est l'utilisation de firebase qui se fait côté client.

Je ne connais pas très bien firebase mais j'imagine qu'il est possible dans la config de la "firebase" d'instaurer des contrôles d'intégrité des données comme tu le ferais avec une stack classique.

Effectivement, il y a les rules au format JSON qui permettent de gérer une partie de la sécurité, ça me semble limité (j'ai pas l'impression que ça remplace un code complet côté serveur comme on peut le faire avec les cloud functions) mais je crois qu'il faut se démerder avec ça.

Il y a quelques éléments dont il faut tenir compte côté client néanmoins pour empêcher le cross site scripting (en gros un utilisateur qui ferait une saisie qui apparaîtrait ensuite sur le site et qui permettrait d'injecter du code JavaScript de sa main).

Oui j'ai aussi connaissance du XSS si c'est bien de ça dont tu parles mais avec Angular je ne devrais pas avoir ce soucis étant donné que le routing est bien géré.

Firebase abstrait la partie service http. Tu ne manipules pas directement la base de données même si tu manipules un objet nommé database. Ca passe sur http tu n'es pas connecté directement à une base de données.

Mais on pourrait très bien faire ce qu'on veut si côté client on a le libre accès et si côté serveur il n'y a pas de rules du coup ? Du genre firebase.database().ref('..').set(...) pour modifier par exemple ou .once('value') pour de la lecture ce serait faisable ?

[Doksuri]

regle #1 : ne jamais faire confiance aux donnees recues par le client.

pour moi, le JS c'est de la cosmetique. toute la securite et traitement des donnes doit se faire cote serveur

[Marco46]

Mais on pourrait très bien faire ce qu'on veut si côté client on a le libre accès et si côté serveur il n'y a pas de rules du coup ? Du genre firebase.database().ref('..').set(...) pour modifier par exemple ou .once('value') pour de la lecture ce serait faisable ?

Si il n'y a pas de contrôles côté serveur et que le client est authentifié oui le client peut faire ce qu'il veut. Avec le token de connexion l'utilisateur n'a même pas besoin de modifier ton appli front il lui suffit d'utiliser un outil de type Postman ou curl pour taper sur ton backend. C'est parfaitement normal.

Comme le dit Doksuri : regle #1 : ne jamais faire confiance aux donnees recues par le client.

[Cursed]

Je ne peux être que d'accord avec cette règle !

J'avais essayé de jouer avec Postman + console justement pour tester les failles, pas de soucis pour appeler les fonctions http qui se trouvent côté serveur (cloud functions) mais je n'avais pas réussi à exécuter les fonctions qui se trouvent côté client firebase.database()... C'est pour ça que je voulais avoir des confirmations sur mes doutes !

Quoi qu'il en soit je vous remercie, j'ai mes réponses. Sur ce, je m'en vais bétonner mes rules !