Discussion :

[Miaou le chat thon]

Plop à tous.

Je suis élève en deuxième année de BTS Informatique de Gestion et j'ai ma soutenance de projet à rendre pour bientôt (quand ? j'en sais rien ^^).
Cette semaine j'ai trouvé un sujet "Sécuriser un site Web" (ou quelque chose dans ce goût) mais je n'ai pas trop d'idées pour le plan ! Le but étant que ça fasse environ 30 pages il me semble et que ça ne soit pas trop technique car à l'oral on passe devant des profs d'info mais aussi devant des profs de matières générales.

Voilà mon début de plan :
I - Pourquoi sécuriser un site Web ?
-Quand
- Les risques encourus
- Les moyens financiers et humains
- Evolution des technologies
- Maintenance
(...) -> si d'autres idées mais pas le cas pour le moment

II - Méthodes au niveau du serveur Web et bases de données
pas plus d'idées que ça ici car j'y connais vraiment RIEN d'où le fait que ça soit dans la même partie

III - Méthodes au niveau du code
là toutes les failles que je connais plus d'autres dont je peux parler


J'ai aussi pensé à faire un site contenant toutes ces failles et le hacker pendant mon oral pour faire une démonstration en même temps, ça m'épargnera des diapo

Qu'en pensez-vous ? Comment puis-je développer ces parties ? Et l'idée du "site test" est-elle bonne ou à proscrire ?

Merci d'avance pour vos réponses

[Siguillaume]

Bonjour, je pense que ton choix n'est pas mal, et le plan que tu propose dejà est abordable surtout que tu dois tenir sur 30 pages.

Mais pour ceci

Plop à tous.
J'ai aussi pensé à faire un site contenant toutes ces failles et le hacker pendant mon oral pour faire une démonstration en même temps, ça m'épargnera des diapo

Je crois que ça te prendrait plus de temps en réalisation que les diapos que tu veux éviter, surtout que tu dis ne pas t'y connaitre encore dans le fonctionnement des sites web avec bases de données.

Bon courage pour la suite.

[Miaou le chat thon]

Je crois que ça te prendrait plus de temps en réalisation que les diapos que tu veux éviter, surtout que tu dis ne pas t'y connaitre encore dans le fonctionnement des sites web avec bases de données.

Bon courage pour la suite.

en fait j'me suis mal exprimé ! j'ai jamais essayé de sécuriser les BDDs (genre avec des grant des trucs comme ça) mais par contre, les sites avec bdd, je sais sécuriser les accès à la bdd par le code ^^
et c'est vrai que ça me prendrait longtemps de toute manière, j'ai encore un peu de temps pour y réfléchir mais il va quand même falloir qu'un jour ou l'autre je m'y mette car mon plan ne me plait décidément pas ^^

[Siguillaume]

Bonjour, quel est le délai minimal? Tu ne sais peut-être pas quand tu vas soutenir, mais il doit bien y avoir un délai minimum. C'est lequel?

[Miaou le chat thon]

j'ai mes dates depuis aujourd'hui !
date de dépôt des dossiers : 5 Mai oral entre le 25 et 28 Mai

[Siguillaume]

Bonjour, là je crois que tu n'as vraiment pas assez de temps, pour apprendre et faire un site web avec base de données (même s'il y a des outils et des CMS qui te permettent d'aller plus vite, ils demandent quand même des notions de base)

Alors, à ta place, je serai plus profond dans l'aspect théorique des choses que tu as très bien présenté dans ta première partie

[Miaou le chat thon]

I. Pourquoi ?

A. quand

o site statique/dynamique

B. Evolution des technologies

o plus de moyens pour protéger mais plus de chances de se faire hacker -> l'un fait évoluer l'autre

C. Coûts

o experts sécurité, formation de employés, serveurs, systèmes de sauvegarde

II. Comment ?

A. Serveurs

Construction de parcs, serveurs frontaux, locaux etc...
Sécurisation couche matérielle, pannes

B. BDD

gestion droits d'accès, vues, groupes utilisateurs
sauvegarde régulières (dump)
bdd miroirs et cachées (à la fois pour la sauvegarde, la modification et la sécurité)

C. Code

1. Parties sécurisées

schéma avec goulot d'étranglement

o utilisation de clé aléatoire

sans

o sessions

avec accès bdd
code en dur

2. Failles connues

quelques failles comme include

3. Sécurisation des accès utilisateur

Champs de saisie
url
données entrées en bdd

4. .htaccess

réécriture de liens
sécurisation de dossiers par mots de passe
sécurisation des accès aux fichiers chmod...

voilà pour mon plan, est-ce que ça peut être bon ?
d'autre part, petite correction, des sites avec bases de données, j'en ai déjà fait pas mal, je connais déjà une assez grande partie de ce que je décris dans mon plan (en fait y'a que la partie bdd et serveurs que je connais pas pour ce qui est du code, ça va)

[Siguillaume]

Bonjour, en terme de contenu, je crois que ce que tu présentes là n'est pas dejà mal.
Mais dans la forme, je trouve les grands titres moins descriptifs.

I-Pourquoi?

Même si le sujet est connu, ça fait trop vague. Idem pour le II. Tu aurais pu dire par exemple:

I- Pourquoi sécuriser un site web?

Je pense aussi que ton I-C, ne doit pas être là.
Le coût n'est pas vraiment une justification, donc n'est pas à inclure dans le pourquoi.

POur l'heure je m'arrête là.

[Miaou le chat thon]

merci encore de tes réponses

en fait mes I et II ne sont pas les vrais titres, ça sera plutôt du style "Pourquoi sécuriser un site web" et "Par quels moyens" ou quelque chose dans ce style
c'est vrai que le coût n'est pas vraiment une justification mais je me suis dit qu'il fallait bien que j'en parle à un moment ou un autre
pourquoi pas dans une des sous-parties ou dans l'intro, je verrai en la rédigeant

merci pour tout

[Siguillaume]

c'est vrai que le coût n'est pas vraiment une justification mais je me suis dit qu'il fallait bien que j'en parle à un moment ou un autre
pourquoi pas dans une des sous-parties ou dans l'intro,

Oui il est toujours important de parler de coût. C'est même indispensable, mais le coût est toujours présenté à la fin de l'étude et du déploiement.
Je pense donc que le coût peut venir en IV-, parce qu'à ce moment tu aurais balayé tous les contours du sujet.

Bonne suite!

[Miaou le chat thon]

c'est vrai qu'en fin ça paraît plus logique :/
je vais voir ça merci encore

[Miaou le chat thon]

désolé pour le double post, honte sur moi :$

dites moi, est-ce que vous pensez que je peux évoquer l'ordinateur quantique ? car beaucoup de problèmes de sécurité se posent en pensant à ça donc est-ce que je pourrais faire un élargissement dessus dans ma conclusion ?

[Siguillaume]

dites moi, est-ce que vous pensez que je peux évoquer l'ordinateur quantique ?

c'est toi qui vois
Mais je ne vois pas la relation entre ça et ton thème qui porte sur les sites web?

[Miaou le chat thon]

en fait la relation avec les ordinateurs quantiques serait surtout par rapport au thème de la sécurité de façon générale, là, on ne parlerait plus de celle des sites web ^^
enfin je sais pas, je verrai si j'suis inspiré xD
merci =)

[Siguillaume]

en fait la relation avec les ordinateurs quantiques serait surtout par rapport au thème de la sécurité de façon générale, là, on ne parlerait plus de celle des sites web ^^
enfin je sais pas, je verrai si j'suis inspiré xD
merci =)

Ah ok, je vois où tu veux en venir.
Il est toujours bon de faire des ouvertures sur d'autres aspects