Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Une banque est la risée des hackers et du web
Suite à sa manière particulière de se prémunir des injections SQL

Le , par Katleen Erna

0PARTAGES

4  0 
Une banque est la risée des hackers et du web, suite à sa manière particulière de se prémunir des injections SQL

Une banque californienne a une manière bien particulière de se protéger des attaques par injection SQL. Dans la FAQ de son site, l'établissement demande à ses clients de ne pas utiliser les mots suivants (comme réponse à leur question secrète) : insert, delete, drop, update, null et select.

Cette information a été découverte le 14 mai et depuis, elle a fait le tour du web, suscitant de grands fous rires dans la communautés des amateurs et professionnels de la sécurité informatique. Depuis hier, la FAQ n'est plus en ligne mais, fort heureusement, nous disposons d'une capture d'écran de ce qui avait été publié :



Source : Le site Internet de la banque Sactocu

Que pensez d'une telle publication de la part de professionnels, qui plus est, dont le rôle est de protéger votre argent ?

Le site de cette banque est-il suffisamment sécurisé selon-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Perplexe
Nouveau Candidat au Club https://www.developpez.com
Le 19/05/2010 à 9:52
Je ne comprends pas les choses de cette manière, même si c'est effectivement curieux.

Ce qu'ils me semblent essayer de faire, c'est demander à leurs clients qui ne connaissent rien à SQL de ne pas utiliser ces mots, car ils font l'objet d'un traitement particulier.

Cela ne signifie pas que les clients risquent de mettre la base par terre en les utilisant, mais peut-être que les internautes utilisant ces mots sont trackés dans le but de répertorier les sources d'attaques potentielles, peut-être à l'aide de techniques particulièrement pointues comme celle du browser fingerprint décrite par l'EFF.

Je peux me tromper, mais c'est tellement tentant de chercher la bêtise innommable en première lecture.
6  2 
Avatar de ironzorg
Membre actif https://www.developpez.com
Le 19/05/2010 à 8:31
Utiliser une blacklist de mots pour securiser des forms contre les injections SQL est une mauvaise idee (j'espere que quelqu'un a prit le temps de leur dire).
1  0 
Avatar de coeos.pro
Membre régulier https://www.developpez.com
Le 08/09/2010 à 15:33
Ça me fait penser à une entreprise qui avait fait sous traiter un projet web en Inde. Lors de l'inscription, quand on choisissait son mot de passe, on pouvait avoir comme erreur :
"ce mot de passe est déjà utilisé, veuillez en choisir un autre"
Ils auraient pu mettre "Ce mot de passe est déjà utilisé par jayfaze"
1  0 
Avatar de jayfaze
Membre actif https://www.developpez.com
Le 19/05/2010 à 6:04
Ça me fait penser à une entreprise qui avait fait sous traiter un projet web en Inde. Lors de l'inscription, quand on choisissait son mot de passe, on pouvait avoir comme erreur :
"ce mot de passe est déjà utilisé, veuillez en choisir un autre"
0  0 
Avatar de Patriarch24
Membre expérimenté https://www.developpez.com
Le 19/05/2010 à 9:26
Vraiment trop drôle... d'autant plus que leur système s'appelle "Protection Plus" !!!
0  0 
Avatar de Jidefix
Membre éprouvé https://www.developpez.com
Le 19/05/2010 à 9:31
Rohhh ils préviennent peut-être simplement qu'ils seront refusés, si ça se trouve il y a d'autres sécurités plus sérieuses derrière... enfin j'espère!
0  0 
Avatar de aphex
Membre du Club https://www.developpez.com
Le 19/05/2010 à 10:54
J'espère bien pour eux que ce n'est pas la seule barrière anti injection qu'ils aient trouvé !!

En attendant ça va que ce n'est qu'une réponse à une question secrète. Car si cette technique devait être généralisée et appliquée partout, et notamment sur le forum développez nous ne pourrions pas répondre à cette news qui n'aurait pas pu être publiée...

C'est risible surtout et simplement parce que ce n'est pas comme ça que l'on combat l'injection.
0  0 
Avatar de ponce
Membre averti https://www.developpez.com
Le 19/05/2010 à 11:19
Citation Envoyé par jayfaze Voir le message
Ça me fait penser à une entreprise qui avait fait sous traiter un projet web en Inde. Lors de l'inscription, quand on choisissait son mot de passe, on pouvait avoir comme erreur :
"ce mot de passe est déjà utilisé, veuillez en choisir un autre"
Oh les boulets
0  0 
Avatar de Jidefix
Membre éprouvé https://www.developpez.com
Le 19/05/2010 à 11:33
En même temps si deux personnes choisissent le même mot de passe, c'est probablement qu'elles devraient faire un effort d'originalité, mais du coup j'aurai plutôt mis comme message:
" merci de ne pas mettre 'Motdepasse123' "
0  0 
Avatar de Namica
Membre expérimenté https://www.developpez.com
Le 19/05/2010 à 14:58
Citation Envoyé par Katleen Erna Voir le message

Le site de cette banque est-il suffisamment sécurisé selon-vous ?
  • Est-ce une invitation à tester leur sécurité ?
  • Où bien un mot d'explication, parmi d'autres causes possibles, à destination des blondes américaines pour leur expliquer pourquoi leur réponse à la question secrète est rejetée ?
  • Où encore, une connerie de leur service de marketing qui a pensé que ce serait bien d'expliquer que leur site est sécurisé et n'ont rien pigé à ce que le service informatique leur a expliqué ?
0  0