Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
[AJAX] Conseil et truc a pas faire au niveau securité
Bonjour, je me demande en ce moment les choses à ne pas faire quand on met au point un site utilisant l'ajax ?!
On parle souvent de sécurité, qu'un hackeur peut faire ci et ça, mais on ne l'explique pas forcément bien. Je voudrais donc savoir ce que pourrai faire un hackeur et dans quel cas afin d'éviter ça.
Si vous avez d'autre conseil cela pourrait être très utile.
Merci
PS : langage coté serveur : VB.NET, même si ca n'a peut être pas d'utilité !
Salut.
En gros, les points importants sont similaires au traitement des formulaires et peut se résumer en une formule : Never Trust User Input (ne jamais faire confiance aux entrées utilisateur).
En gros, ce qu'il faut savoir est qu'il est facile (par exemple via la console de Firebug) de modifier les données envoyées sur le serveur sans pouvoir les contrôler coté client.
D'autre part, il est aussi possible du coup de faire une requête vers n'importe quelle page de ton site (pour tester par exemple les valeurs retournées, voire les messages d'erreur, qui donnent souvent des informations très précieuses sur l'organisation du site).
Personnellement, je crée souvent une page intermédiaire qui va servir à vérifier les données reçues via AJAX puis dispatcher vers les réels scripts de traitement dont j'interdis l'accès à toute demande ne provenant pas du serveur lui-même.
Pas de question technique par MP !
ok, pourrai tu donner un exemple de ce que tu dis stp ?
Genre un exemple avec un formulaire avec une textbox, qui va envoyer une requete d'insertion.
comment ça interdire l'accès ??? comment fait tu ça ?
Merci
Un exemple simple pour illustrer :
Un écran d'un client avec une liste de facture dans un tableau. Une fonction js getFacture(id_facture) qui fait un appel ajax, qui fait une requete coté serveur et renvoit l'info.
A priori ca peut marcher sauf qu'un petit malin pourrait faire un getFacture(numero) avec des numeros au hasard et tomber sur les factures d'autres clients.
Solution => Vérifier coté serveur que la facture demandée appartienne bien au client courant (session courante)
Bonjour, merci de ton exemple, je pense qu'il serai très utile de faire un point la dessus dans une FAQ ou un truc du genre.
C'est la même chose qu'avec Javascript; on peut faire des vérifications "expresses" sur le navigateur mais il faudra toujours refaire les mêmes vérifications sur le serveur...
Je dirait que le vrai terrain ou se joue la sécurité reste toujours le serveur
Répondre avec citation
Partager