06-07-2007, 02:18 AM
L'évènement récent avec Wells m'a poussé à me poser une question concernant le tuto que je prépare sur les failles (principalement les injections).
J'avais prévu de faire quelque chose d'assez clair et poussé :
- Expliquer les failles, leur mise en œuvres pour les comprendre, et surtout comment s'en protéger.
D'une part cet évènement m'a fait penser qu'il fallait que j'ajoute une section sur le spam et les captcha même si ça sort un peu du domaine.
D'autre part je me demande surtout comment expliquer une faille sans que cette explication ne soit mise en pratique sur de pauvres victimes innocentes. Non pas que ce soit du haut niveau, ou que ce soit secret-défense : des pages sur les injections SQL/header/XSS il y en a 15'000… Mais on a un public assez «turbulent» (pour ne pas dire à 80% totalement puéril) et je me demande du coup si c'est une bonne idée.
Enfin je vous soumettrai le tuto avant de l'envoyer mais la discussion me permettrait sans doute de compléter mon avis (personnellement, je ne censurerais pas, je me contenterais de mettre un avertissement).
J'avais prévu de faire quelque chose d'assez clair et poussé :
- Expliquer les failles, leur mise en œuvres pour les comprendre, et surtout comment s'en protéger.
D'une part cet évènement m'a fait penser qu'il fallait que j'ajoute une section sur le spam et les captcha même si ça sort un peu du domaine.
D'autre part je me demande surtout comment expliquer une faille sans que cette explication ne soit mise en pratique sur de pauvres victimes innocentes. Non pas que ce soit du haut niveau, ou que ce soit secret-défense : des pages sur les injections SQL/header/XSS il y en a 15'000… Mais on a un public assez «turbulent» (pour ne pas dire à 80% totalement puéril) et je me demande du coup si c'est une bonne idée.
Enfin je vous soumettrai le tuto avant de l'envoyer mais la discussion me permettrait sans doute de compléter mon avis (personnellement, je ne censurerais pas, je me contenterais de mettre un avertissement).
Ressources [PHP][MySQL][prototype.js]