5.1.1 Considérations générales
Un système complètement sûr est une impossiblité virtuelle.
L'approche souvent utilisée par les professionnels de la
sécurité est d'équilibrer les risques et l'ergonomie.
Si chaque variable fournie par l'utilisateur demandait deux
formes de validation biométrique (un scan de la rétine et
une empreinte digitale), on obtiendrait un système avec
un niveau de sécurité d'un bon niveau. Il faudrait aussi une
bonne heure pour remplir un formulaire simple, ce qui encouragerait
les utilisateurs à trouver un moyen de contourner cette sécurité.
La meilleure sécurité est suffisamment discrète pour assurer
un maximum de sécurité sans ajouter de contraintes insurmontables
pour l'utilisateur ou de systèmes complexes de programmation.
Souvent, les attaques sur un script sont des exploitations
des systèmes de sécurité trop complexes, qui s'érodent au cour
du temps.
Un principe qu'il est bon de retenir : Un système est aussi sur
que son maillon le plus faible. Si toutes les transactions sont
bien notées dans une base, avec confirmation mais que l'utilisateur
n'est authentifié que par un cookie, la robustesse de votre
système est sévèrement réduite.
Lorsque vous testez votre site, gardez en tête que vous ne pourrez
jamais tester toutes les situations, même pour les pages les plus
simples. Les valeurs que vous attendez seront toujours complétement
différentes des valeurs entrées par un employé négligent, un hacker qui a toute
la nuit devant lui ou encore le chat de la maison qui marche sur le clavier.
C'est pourquoi il est préférable de regarder le code d'un point de vue
logique, pour repérer les points d'entrée des données inattendues,
puis de voir comment elles pourront être modifiées,
amplifiées ou réduites.
L'Internet est rempli d'individus qui tentent de se faire une renommée
en piratant vos programmes, en bloquant votre site, en envoyant des contenus
inappropriés, qui rendent vos journées si "spéciales".
Peu importe que vous ayez un grand portail ou un petit web, vous pouvez
être la cible pour tout quidam avec une connexion. Vous êtes une
cible potentielle dès que vous êtes connecté vous-même.
Certains programmes de piratage ne font pas dans la demi-mesure, et
testent systématiquement des millions d'IP, à la recherche
de victimes : ne soyez pas la prochaine.
|