News de PatBiker
28-09-2016

Liens

News de PatBiker

Publié le 7 mars 2007

Ajax et la sécurité

Est-ce que le développeur WebDev est concerné ? Oui sans doute, s’il utilise Ajax dans ses pages. Voyons les dangers potentiels d’Ajax.

L’apparition récente du mode Ajax dans WebDev fait naître des inquiétudes car il est à la mode maintenant de parler des failles de sécurité d’Ajax. Hé oui, le vent tourne déjà. Il y a encore quelques semaines, tout le monde voulait passer à Ajax. Aujourd’hui certains, souvent les mêmes, se lamentent sur les problèmes de sécurité attribués à Ajax.

Les contrôles de sécurité en code Client

Ces contrôles de sécurité sont à proscrire car le code Client est facilement accessible. Il ne viendrait à personne l’idée de mémoriser un mot de passe en code Navigateur. C‘était vrai sans Ajax. Ca le reste avec Ajax. La différence, c’est qu’Ajax encourage le production de code Navigateur. C’est sans problème pour modifier l’aspect de la page, mais il ne faut pas y manipuler des données sensibles.

Multiplication des points d’entrée

Avant l’URL de la page était le seul point d’entrée à défendre. Maintenant chaque procédure Ajax donne accès au code Serveur. Chacun de ces points d’entrée doit être protégé par du code défensif. Par exemple, il est peu prudent de permettre à une procédure Ajax d’ajouter des éléments dans un fichier sans contrôle au niveau du Serveur. Il serait facile dans ce cas de faire exploser la base de données ou de la rendre inutilisable en appelant cette procédure en boucle.

Les avantages de WebDev

WebDev gère Ajax de manière automatique et décharge le programmeur de la tâche ingrate d’aller manipuler directement le Javascript lui-même. De fait, cela minimise les possibilités d’erreur de programmation.
Le développeur WebDev peut donc utiliser Ajax sans se préoccuper des risques