Discussion :

[Marrine]

Bonjour,

J'ai eu l'idée que faire un formulaire en flash/actionscript est peut-être plus intéressant au point de vue sécurité qu'un formulaire en html/javascript.

L'idée serait de faire des contrôles sur les entrées en les filtrant pour éviter des trucs du genre injection mysql.

Je sais qu'en javascript il n'y a pas de vrai protection puisque le script peut être modifié par n'importe qui. Alors qu'un script de contrôle en actionscript ne doit pas pouvoir être modifié ni lu puisqu'il est compilé.

Je débute et j'ai recherché la réponse à cette question sur le web et sur ce site, sans succès. Je suppose que quelque chose m'échappe et que cette solution ne doit pas être si intéressante que ça. ???

[Raideman]

Plus sur dans le sens ou la source du flash est protégé peut etre, ceci dit, il est possible de décompiler le flash. C'est peut etre un peu plus dur mais si la personne est motivée, elle y arrivera.
En soit je dirai qu'il ne fait jamais reposer la sécurité coté client, mais coté serveur. Donc , que ce soit flash, ou javascript, il te faut tester, parser, analyser toutes tes variables saisies par les utilsateurs avant de travailler avec (notamment si tu les injectes dans des bases de données derrière).

Personnellement donc, je pense que l'utilisation du flash ne change pas grand chose au problème.

Tout dépend aussi de l'importance des données que tu souhaites protégér et de la priorité qu'elles ont.

[Marrine]

Je ne savais pas qu'il existait des décompilateurs pour Flash. Ca fait deux jours que je me demandais pourquoi je ne trouvais pas d'informations au sujet de ma question.

Alors merci beaucoup pour ta réponse.

[Hervé Saladin]

Le problème n'est pas qu'il y ait des décompilateurs de flash ou que l'on puisse modifier le javascript etc ...
Le problème c'est qu'on est pas obligé d'utiliser le formulaire que tu fourniras pour envoyer des données (potentiellement malveillantes) à tes scripts php.
En effet, n'importe qui peut créer son propre formulaire, ou même tout simplement forger la requete HTTP sans passer par quelque formulaire que ce soit.
Donc, la vérification coté serveur est INDISPENSABLE, quelque soit le language serveur utilisé, et quelque soit les technos coté client.

[Marrine]

Mais comment peut-on envoyer une requête http sans décompiler le code pour savoir où l'adresser ?

[Hervé Saladin]

Rien de plus simple : il suffit d'essayer avec le vrai formulaire en capturant le traffic réseau.
Par exemple avec ethereal, tu vois très bien la requete http, sa destination, son contenu (champs, cookies etc ...).
Et encore, ça c'est la méthode "artisanale", mais il existe des outils de hacking "industriel" (façon de parler) qui scannent automatiquement les sites, et testent des manipulations de parametres, injections sql, xss, etc etc ....

[Marrine]

C'est ce qu'on m'avait dit pour LiveHTTPHeaders. Je l'ai installé et je l'ai essayé.

Effectivement ça donne des informations pour les formulaires en javascript, mais pour les formulaires en flash, ça parait inefficace.

Mais ethereal est peut-être plus performant ?

[Marrine]

oui, on dirait