IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : juillet 2009
    Messages : 1 547
    Points : 75 938
    Points
    75 938
    Par défaut Une banque est la risée des hackers et du web, suite à sa manière de se prémunir des injections SQL
    Une banque est la risée des hackers et du web, suite à sa manière particulière de se prémunir des injections SQL

    Une banque californienne a une manière bien particulière de se protéger des attaques par injection SQL. Dans la FAQ de son site, l'établissement demande à ses clients de ne pas utiliser les mots suivants (comme réponse à leur question secrète) : insert, delete, drop, update, null et select.

    Cette information a été découverte le 14 mai et depuis, elle a fait le tour du web, suscitant de grands fous rires dans la communautés des amateurs et professionnels de la sécurité informatique. Depuis hier, la FAQ n'est plus en ligne mais, fort heureusement, nous disposons d'une capture d'écran de ce qui avait été publié :



    Source : Le site Internet de la banque Sactocu

    Que pensez d'une telle publication de la part de professionnels, qui plus est, dont le rôle est de protéger votre argent ?

    Le site de cette banque est-il suffisamment sécurisé selon-vous ?

  2. #2
    Membre actif
    Profil pro
    Inscrit en
    novembre 2006
    Messages
    137
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2006
    Messages : 137
    Points : 250
    Points
    250
    Par défaut
    Ça me fait penser à une entreprise qui avait fait sous traiter un projet web en Inde. Lors de l'inscription, quand on choisissait son mot de passe, on pouvait avoir comme erreur :
    "ce mot de passe est déjà utilisé, veuillez en choisir un autre"

  3. #3
    Membre actif Avatar de ironzorg
    Profil pro
    Inscrit en
    juillet 2006
    Messages
    288
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juillet 2006
    Messages : 288
    Points : 236
    Points
    236
    Par défaut
    Utiliser une blacklist de mots pour securiser des forms contre les injections SQL est une mauvaise idee (j'espere que quelqu'un a prit le temps de leur dire).

  4. #4
    Membre expérimenté
    Avatar de Patriarch24
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    septembre 2003
    Messages
    1 047
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Industrie

    Informations forums :
    Inscription : septembre 2003
    Messages : 1 047
    Points : 1 627
    Points
    1 627
    Par défaut
    Vraiment trop drôle... d'autant plus que leur système s'appelle "Protection Plus" !!!
    En premier lieu, utilisez un moteur de recherche.
    En second lieu, postez sur le forum adéquat !

  5. #5
    Membre éprouvé Avatar de Jidefix
    Profil pro
    Inscrit en
    septembre 2006
    Messages
    742
    Détails du profil
    Informations personnelles :
    Âge : 36
    Localisation : France, Seine Maritime (Haute Normandie)

    Informations forums :
    Inscription : septembre 2006
    Messages : 742
    Points : 1 121
    Points
    1 121
    Par défaut
    Rohhh ils préviennent peut-être simplement qu'ils seront refusés, si ça se trouve il y a d'autres sécurités plus sérieuses derrière... enfin j'espère!
    Veuillez agréer nos sentiments les plus distingués. Soyez assurés de notre entière collaboration, bien à vous pour toujours et à jamais dans l'unique but de servir l'espérance de votre satisfaction, dis bonjour à ton père et à ta mère, bonne pétanque, mets ton écharpe fais froid dehors.

  6. #6
    Nouveau Candidat au Club
    Homme Profil pro
    Épine dans le pieds
    Inscrit en
    mai 2004
    Messages
    425
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 53
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Épine dans le pieds

    Informations forums :
    Inscription : mai 2004
    Messages : 425
    Points : 0
    Points
    0
    Par défaut
    Je ne comprends pas les choses de cette manière, même si c'est effectivement curieux.

    Ce qu'ils me semblent essayer de faire, c'est demander à leurs clients qui ne connaissent rien à SQL de ne pas utiliser ces mots, car ils font l'objet d'un traitement particulier.

    Cela ne signifie pas que les clients risquent de mettre la base par terre en les utilisant, mais peut-être que les internautes utilisant ces mots sont trackés dans le but de répertorier les sources d'attaques potentielles, peut-être à l'aide de techniques particulièrement pointues comme celle du browser fingerprint décrite par l'EFF.

    Je peux me tromper, mais c'est tellement tentant de chercher la bêtise innommable en première lecture.

  7. #7
    Membre du Club
    Profil pro
    Inscrit en
    octobre 2005
    Messages
    21
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : octobre 2005
    Messages : 21
    Points : 47
    Points
    47
    Par défaut
    J'espère bien pour eux que ce n'est pas la seule barrière anti injection qu'ils aient trouvé !!

    En attendant ça va que ce n'est qu'une réponse à une question secrète. Car si cette technique devait être généralisée et appliquée partout, et notamment sur le forum développez nous ne pourrions pas répondre à cette news qui n'aurait pas pu être publiée...

    C'est risible surtout et simplement parce que ce n'est pas comme ça que l'on combat l'injection.

  8. #8
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par jayfaze Voir le message
    Ça me fait penser à une entreprise qui avait fait sous traiter un projet web en Inde. Lors de l'inscription, quand on choisissait son mot de passe, on pouvait avoir comme erreur :
    "ce mot de passe est déjà utilisé, veuillez en choisir un autre"
    Oh les boulets
    Dernière modification par Mejdi20 ; 20/05/2010 à 10h02.

  9. #9
    Membre éprouvé Avatar de Jidefix
    Profil pro
    Inscrit en
    septembre 2006
    Messages
    742
    Détails du profil
    Informations personnelles :
    Âge : 36
    Localisation : France, Seine Maritime (Haute Normandie)

    Informations forums :
    Inscription : septembre 2006
    Messages : 742
    Points : 1 121
    Points
    1 121
    Par défaut
    En même temps si deux personnes choisissent le même mot de passe, c'est probablement qu'elles devraient faire un effort d'originalité, mais du coup j'aurai plutôt mis comme message:
    " merci de ne pas mettre 'Motdepasse123' "
    Veuillez agréer nos sentiments les plus distingués. Soyez assurés de notre entière collaboration, bien à vous pour toujours et à jamais dans l'unique but de servir l'espérance de votre satisfaction, dis bonjour à ton père et à ta mère, bonne pétanque, mets ton écharpe fais froid dehors.

  10. #10
    Membre actif
    Profil pro
    Inscrit en
    décembre 2002
    Messages
    231
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : décembre 2002
    Messages : 231
    Points : 271
    Points
    271
    Par défaut
    Déjà rien que le nom de la banque....

  11. #11
    Membre expérimenté

    Homme Profil pro
    retraité
    Inscrit en
    novembre 2004
    Messages
    389
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : retraité
    Secteur : Service public

    Informations forums :
    Inscription : novembre 2004
    Messages : 389
    Points : 1 538
    Points
    1 538
    Par défaut
    Citation Envoyé par Katleen Erna Voir le message
    Le site de cette banque est-il suffisamment sécurisé selon-vous ?
    • Est-ce une invitation à tester leur sécurité ?
    • Où bien un mot d'explication, parmi d'autres causes possibles, à destination des blondes américaines pour leur expliquer pourquoi leur réponse à la question secrète est rejetée ?
    • Où encore, une connerie de leur service de marketing qui a pensé que ce serait bien d'expliquer que leur site est sécurisé et n'ont rien pigé à ce que le service informatique leur a expliqué ?

  12. #12
    Rédacteur
    Avatar de pcaboche
    Homme Profil pro
    Inscrit en
    octobre 2005
    Messages
    2 785
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : Singapour

    Informations forums :
    Inscription : octobre 2005
    Messages : 2 785
    Points : 9 687
    Points
    9 687
    Par défaut
    Citation Envoyé par Katleen Erna Voir le message
    Dans la FAQ de son site, l'établissement demande à ses clients de ne pas utiliser les mots suivants (comme réponse à leur question secrète) : insert, delete, drop, update, null et select.
    Génial ! On peut quand même utiliser le mot TRUNCATE...
    "On en a vu poser les armes avant de se tirer une balle dans le pied..."
    -- pydévelop

    Derniers articles:

    (SQL Server) Introduction à la gestion des droits
    (UML) Souplesse et modularité grâce aux Design Patterns
    (UML) Le Pattern Etat
    Autres articles...

  13. #13
    Expert éminent
    Avatar de pmithrandir
    Homme Profil pro
    Responsable d'équipe développement
    Inscrit en
    mai 2004
    Messages
    2 248
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Responsable d'équipe développement
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mai 2004
    Messages : 2 248
    Points : 6 492
    Points
    6 492
    Par défaut
    Citation Envoyé par Perplexe Voir le message
    Je ne comprends pas les choses de cette manière, même si c'est effectivement curieux.

    Ce qu'ils me semblent essayer de faire, c'est demander à leurs clients qui ne connaissent rien à SQL de ne pas utiliser ces mots, car ils font l'objet d'un traitement particulier.

    Cela ne signifie pas que les clients risquent de mettre la base par terre en les utilisant, mais peut-être que les internautes utilisant ces mots sont trackés dans le but de répertorier les sources d'attaques potentielles, peut-être à l'aide de techniques particulièrement pointues comme celle du browser fingerprint décrite par l'EFF.

    Je peux me tromper, mais c'est tellement tentant de chercher la bêtise innommable en première lecture.
    j'aime bien cette explication.

  14. #14
    Membre éprouvé
    Avatar de Dr.Who
    Inscrit en
    septembre 2009
    Messages
    980
    Détails du profil
    Informations personnelles :
    Âge : 42

    Informations forums :
    Inscription : septembre 2009
    Messages : 980
    Points : 1 285
    Points
    1 285
    Par défaut
    Qu'attendiez vous d'une banque qui s'appelle Sactocu ? (sac ton cul)
    [ Sources et programmes de Dr.Who | FAQ Delphi | FAQ Pascal | Règlement | Contactez l'équipe ]
    Ma messagerie n'est pas la succursale du forum... merci!

  15. #15
    Membre régulier
    Profil pro
    Inscrit en
    mai 2010
    Messages
    97
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2010
    Messages : 97
    Points : 82
    Points
    82
    Par défaut
    par Namica
    Est-ce une invitation à tester leur sécurité ?
    Effectivement en regardant ça donne terriblement envie de tester leur securité ^^ (juste pour essayer je ne suis pas un pirate ni un voleur...enfin après c'est une banque vu ce qu'elle contient :s...)

    J'espère juste qu'il y a d'autres securités derriere parceque sinon... :X

    Apparition de premiers braqueurs en ligne?

  16. #16
    Membre régulier
    Profil pro
    Inscrit en
    mars 2010
    Messages
    82
    Détails du profil
    Informations personnelles :
    Localisation : France, Meurthe et Moselle (Lorraine)

    Informations forums :
    Inscription : mars 2010
    Messages : 82
    Points : 109
    Points
    109
    Par défaut
    Ça me fait penser à une entreprise qui avait fait sous traiter un projet web en Inde. Lors de l'inscription, quand on choisissait son mot de passe, on pouvait avoir comme erreur :
    "ce mot de passe est déjà utilisé, veuillez en choisir un autre"
    Ils auraient pu mettre "Ce mot de passe est déjà utilisé par jayfaze"

Discussions similaires

  1. Réponses: 26
    Dernier message: 05/10/2012, 17h55
  2. Réponses: 1
    Dernier message: 12/04/2011, 12h42
  3. Réponses: 4
    Dernier message: 24/07/2009, 12h33
  4. Arret d'un calcul des qu'une condition est satisfaite
    Par comoliv02 dans le forum MATLAB
    Réponses: 4
    Dernier message: 08/10/2007, 17h34
  5. Réponses: 2
    Dernier message: 06/04/2007, 13h31

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo