Lyche a répondu en partie, mais il ne faut pas oublier qu'il y a les données de connexion (mot de passe) à la base de donnée dans une application et que d'autres failles permettraient de les lire.Et de toute façon certaines boites n'ont pas de BDA (elles laissent la gestion à l'hébergeur) et gèrent le code web et sql, j'ai vu une agence web 2.0 qui avait un phpmyadmin accessible par internet, phpmyadmin qui avait 2 versions de retard avec failles de sécurité connus et en plus un stagiaire s'en servait en admin !!
Le problème Lyche n'est pas que se soit facile ou pas de protéger une appli, le problème réel est de protéger à tous les niveaux ça demande de l'expérience, de la paranoïa et du temps ce qui est plutôt rare.
Partager