BrowserWar-Dev

La guerre des navigateurs

Notes de développement



   Je vous ai réservé quelques notes de développement afin de venir en aide aux plus démunis et d'expliquer (brièvement) les problèmes que j'ai recontrés, même dans le cadre d'un site si simple.
J'ai également ajouté une petite page contenant vos remarques.

J'ajouterais une remarque concernant la sécurité qui est que, de façon générale, on effectue le maximum de vérifications afin de bloquer le passage à un éventuel attaquant.
Ainsi, quand une requête ne doit retourner qu'un seul enregistrement, on vérifie le nombre de lignes retournées.
Ou encore, quand on n'a pas besoin de savoir le contenu d'un dossier, on place un fichier index qui retourne le visiteur à l'endroit où il doit se trouver.
De même, lorsqu'on est hors debug, on n'a pas besoin des erreurs serveur et on doit donc les désactiver car elles constituent une source d'information conséquente pour un attaquant.
On a également pris soin de régenérer les PHPSESSID à chaque ouverture de la page pour limiter les vols de sessions, ou encore prendre en compte la casse dans les requêtes SQL (pour le schéma, la table et la colonne), etc..

Il faut donc distinguer ce qui est utile de ce qui ne l'est pas afin de réguler au plus près possible l'exécution du code et les informations qu'on fournit aux utilisateurs.


Hacking et sécurité informatique - BrowserWar - Releases