L’id\u00e9al serait bien sur que tous les sites web soient programm\u00e9s correctement, sans aucune failles exploitables etc. Mais \u00e7a, on y arrivera jamais. D\u2019abord parce qu’aucun d\u00e9veloppeur web n’est \u00e9galement expert en s\u00e9curit\u00e9 (et que les experts en s\u00e9curit\u00e9 ont mieux \u00e0 faire qu’a cr\u00e9er des sites web…) Ensuite parce que, dans toutes les entreprises, c’est \u00e9videment la rentabilit\u00e9 qui prime (et va-y que je d\u00e9localise le d\u00e9veloppement vers les pays qui proposent le meilleure taux horaire, etc).<\/p>\n
Du coup, c’est mort, 99% des sites web dans le monde sont tr\u00e8s probablement \u00ab\u00a0trou\u00e9s\u00a0\u00bb et avec l’\u00e9volution des technologies (html 5) ce sera de pire en pire.<\/p>\n
Et la vous allez me dire\u00a0: Oui mais il existe des \u00ab\u00a0firewall web\u00a0\u00bb, qui analysent les requ\u00eates et bloquent les attaques blablabla. Ce serait bien si \u00e7a pouvait fonctionner. Sauf que \u00e7a ne peut pas. Et ce n’est pas moi qui le dit, mais le directeur technique de DenyAll, petite boite fran\u00e7aise bien sympathique qui, justement, vend des solutions de protection de ce genre (mod security en prend pour son grade, mais pas que).<\/p>\n
Je recommande tr\u00e8s vivement \u00e0 tous ceux qui s\u2019int\u00e9resse un peu \u00e0 la s\u00e9curit\u00e9 de jeter un \u0153il \u00e0 cette pr\u00e9sentation<\/a>. Attention, \u00e7a va vite, et si vous ne savez pas d\u00e9j\u00e0 parfaitement ce qu’est une injection SQL ou une attaque de type XSS vous serez largu\u00e9 en quelques secondes. Oui, l’acc\u00e8s \u00e0 cette pr\u00e9sentation n\u00e9cessite de remplir un formulaire \u00e0 deux balles (email obligatoirement valide pour recevoir le lien) mais faites moi confiance, remplissez le, vous ne le regretterez pas…<\/p>\n