Eric Vernis



Warning: main() [function.main]: php_network_getaddresses: getaddrinfo failed: Name or service not known in /mnt/132/sda/6/f/projetw2/wordpress/wp-content/themes/camel/sidebar.php on line 95

Warning: main(http://www.feedtwister.com/feeds/ef9932a.html) [function.main]: failed to open stream: Success in /mnt/132/sda/6/f/projetw2/wordpress/wp-content/themes/camel/sidebar.php on line 95

Warning: main() [function.include]: Failed opening 'http://www.feedtwister.com/feeds/ef9932a.html' for inclusion (include_path='/mnt/132/sda/6/f/projetw2/include:.:/usr/php4/lib/php') in /mnt/132/sda/6/f/projetw2/wordpress/wp-content/themes/camel/sidebar.php on line 95

La sécurité… on en parle ?

Connaissez-vous Yamanner, Samy et Spaceflash. Ce ne sont pas d’inoffensifs pseudos sortis de ziki ou linked in mais des virus qui ont fait des dégats dans des applications comme Yahoo! ou Myspace. Les nouveaux virus exploitent les failles des sites web 2.0 qui sont particulièrement exposés.

security
Les points d’entrée

Les langages comme javascript et d’une manière générale, tous les accès client/serveur dont les sites web 2.0 sont de gros consommateurs et en particulier les uploads (photos, mp3, video et j’en passe…).

Les technologies comme Ajax notamment proposent de multiples points d’entrée sur le serveur. Ces points d’entrée permettent à un hacker de s’introduire par exemple, en prenant le contrôle d’une session utilisateur.

Mais le talon d’achille du web 2.0 est sans nul doute XML. Les fils RSS par exemple, peuvent permettre aisément d’introduire un code malveillant dans un serveur.
Le Cross site scripting ou XSS, est un type de faille de sécurité des sites web, que l’on trouve dans les applications Web. Le principe est d’injecter des données douteuses dans un site web, en déposant par exemple un message dans un forum. Pour vérifier la présence d’une faille XSS, il suffit de faire passer un script en javascript comme par exemple, une boite d’alerte.

Les solutions

Tout d’abord, vérifier toutes les entrées. Toutes les données envoyées par un navigateur doivent faire l’objet d’un contrôle de validation.

Crypter le code XML afin que celui-ci ne soit pas détourné de manière malveillante. Le consortium World Wide Web (W3C) approuve XKMS 2.0 (XML Key Management Specification), le système de gestion de clés de chiffrement XML. XKMS, une des technologies de base pour la sécurité des applications Web, permet la gestion de clés publiques. La sécurité des applications Web repose sur des composants interopérables permettant de signer, certifier, encoder et échanger des documents électroniques.

Conclusion

L’interactivité a son revers de médaille : la difficulté d’asurer la sécurité d’un site. La seule parade se situe au niveau de l’élaboration de l’application. Ce sont donc les développeurs qui seuls, ont la possibilité de sécuriser un site. Pour l’instant, ceux-ci ne sont pas toujours sensibilisés à ce problème car le développement de sites classiques (1.0) était moins sensible à des attaques extérieures. Cet aspect doit donc être pris en compte dès la conception. L’utilisateur lui, ne peut que participer à la prise de conscience générale. C’est l’objectif de ce post.
Nul doute que cela fera l’objet, dans un futur proche, d’une nouvelle branche de la sphère Web au même titre que par exemple, les spécialistes en sécurité réseaux. Un bon filon pour les jeunes informaticiens en quête de nouveaux métiers.

Creative Commons License