Une banque est la risée des hackers et du web
Suite à sa manière particulière de se prémunir des injections SQL

Le , par Katleen Erna, Expert éminent sénior
Une banque est la risée des hackers et du web, suite à sa manière particulière de se prémunir des injections SQL

Une banque californienne a une manière bien particulière de se protéger des attaques par injection SQL. Dans la FAQ de son site, l'établissement demande à ses clients de ne pas utiliser les mots suivants (comme réponse à leur question secrète) : insert, delete, drop, update, null et select.

Cette information a été découverte le 14 mai et depuis, elle a fait le tour du web, suscitant de grands fous rires dans la communautés des amateurs et professionnels de la sécurité informatique. Depuis hier, la FAQ n'est plus en ligne mais, fort heureusement, nous disposons d'une capture d'écran de ce qui avait été publié :



Source : Le site Internet de la banque Sactocu

Que pensez d'une telle publication de la part de professionnels, qui plus est, dont le rôle est de protéger votre argent ?

Le site de cette banque est-il suffisamment sécurisé selon-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Perplexe Perplexe - Nouveau Candidat au Club https://www.developpez.com
le 19/05/2010 à 9:52
Je ne comprends pas les choses de cette manière, même si c'est effectivement curieux.

Ce qu'ils me semblent essayer de faire, c'est demander à leurs clients qui ne connaissent rien à SQL de ne pas utiliser ces mots, car ils font l'objet d'un traitement particulier.

Cela ne signifie pas que les clients risquent de mettre la base par terre en les utilisant, mais peut-être que les internautes utilisant ces mots sont trackés dans le but de répertorier les sources d'attaques potentielles, peut-être à l'aide de techniques particulièrement pointues comme celle du browser fingerprint décrite par l'EFF.

Je peux me tromper, mais c'est tellement tentant de chercher la bêtise innommable en première lecture.
Avatar de aphex aphex - Membre du Club https://www.developpez.com
le 19/05/2010 à 10:54
J'espère bien pour eux que ce n'est pas la seule barrière anti injection qu'ils aient trouvé !!

En attendant ça va que ce n'est qu'une réponse à une question secrète. Car si cette technique devait être généralisée et appliquée partout, et notamment sur le forum développez nous ne pourrions pas répondre à cette news qui n'aurait pas pu être publiée...

C'est risible surtout et simplement parce que ce n'est pas comme ça que l'on combat l'injection.
Avatar de ponce ponce - Membre averti https://www.developpez.com
le 19/05/2010 à 11:19
Citation Envoyé par jayfaze  Voir le message
Ça me fait penser à une entreprise qui avait fait sous traiter un projet web en Inde. Lors de l'inscription, quand on choisissait son mot de passe, on pouvait avoir comme erreur :
"ce mot de passe est déjà utilisé, veuillez en choisir un autre"

Oh les boulets
Avatar de Jidefix Jidefix - Membre éprouvé https://www.developpez.com
le 19/05/2010 à 11:33
En même temps si deux personnes choisissent le même mot de passe, c'est probablement qu'elles devraient faire un effort d'originalité, mais du coup j'aurai plutôt mis comme message:
" merci de ne pas mettre 'Motdepasse123' "
Avatar de cd090580 cd090580 - Membre habitué https://www.developpez.com
le 19/05/2010 à 11:59
Déjà rien que le nom de la banque....
Avatar de Namica Namica - Membre confirmé https://www.developpez.com
le 19/05/2010 à 14:58
Citation Envoyé par Katleen Erna  Voir le message
Le site de cette banque est-il suffisamment sécurisé selon-vous ?

  • Est-ce une invitation à tester leur sécurité ?
  • Où bien un mot d'explication, parmi d'autres causes possibles, à destination des blondes américaines pour leur expliquer pourquoi leur réponse à la question secrète est rejetée ?
  • Où encore, une connerie de leur service de marketing qui a pensé que ce serait bien d'expliquer que leur site est sécurisé et n'ont rien pigé à ce que le service informatique leur a expliqué ?
Avatar de pcaboche pcaboche - Rédacteur https://www.developpez.com
le 19/05/2010 à 18:37
Citation Envoyé par Katleen Erna  Voir le message
Dans la FAQ de son site, l'établissement demande à ses clients de ne pas utiliser les mots suivants (comme réponse à leur question secrète) : insert, delete, drop, update, null et select.


Génial ! On peut quand même utiliser le mot TRUNCATE...
Avatar de pmithrandir pmithrandir - Membre expert https://www.developpez.com
le 19/05/2010 à 19:08
Citation Envoyé par Perplexe  Voir le message
Je ne comprends pas les choses de cette manière, même si c'est effectivement curieux.

Ce qu'ils me semblent essayer de faire, c'est demander à leurs clients qui ne connaissent rien à SQL de ne pas utiliser ces mots, car ils font l'objet d'un traitement particulier.

Cela ne signifie pas que les clients risquent de mettre la base par terre en les utilisant, mais peut-être que les internautes utilisant ces mots sont trackés dans le but de répertorier les sources d'attaques potentielles, peut-être à l'aide de techniques particulièrement pointues comme celle du browser fingerprint décrite par l'EFF.

Je peux me tromper, mais c'est tellement tentant de chercher la bêtise innommable en première lecture.

j'aime bien cette explication.
Avatar de Dr.Who Dr.Who - Membre éprouvé https://www.developpez.com
le 19/05/2010 à 21:32
Qu'attendiez vous d'une banque qui s'appelle Sactocu ? (sac ton cul)
Avatar de nightfall59 nightfall59 - Membre régulier https://www.developpez.com
le 25/05/2010 à 11:36
par Namica
Est-ce une invitation à tester leur sécurité ?

Effectivement en regardant ça donne terriblement envie de tester leur securité ^^ (juste pour essayer je ne suis pas un pirate ni un voleur...enfin après c'est une banque vu ce qu'elle contient :s...)

J'espère juste qu'il y a d'autres securités derriere parceque sinon... :X

Apparition de premiers braqueurs en ligne?
Avatar de coeos.pro coeos.pro - Membre régulier https://www.developpez.com
le 08/09/2010 à 15:33
Ça me fait penser à une entreprise qui avait fait sous traiter un projet web en Inde. Lors de l'inscription, quand on choisissait son mot de passe, on pouvait avoir comme erreur :
"ce mot de passe est déjà utilisé, veuillez en choisir un autre"

Ils auraient pu mettre "Ce mot de passe est déjà utilisé par jayfaze"
Offres d'emploi IT
Responsable transverse - engagement métiers H/F
Safran - Ile de France - Corbeil-Essonnes (91100)
Ingénieur intégration, validation, qualification du système de drone H/F
Safran - Ile de France - Éragny (95610)
Ingénieur développement fpga (traitement vidéo) H/F
Safran - Ile de France - 100 rue de Paris 91300 MASSY

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil