14-01-2012, 08:09 PM
(14-01-2012, 12:58 PM)Sephi-Chan a écrit : Le problème Ter Rowan, c'est que pour un article sur la sécurité, il y a plein de choses à dire mais l'amplitude du niveau requis est conséquente !
- La sécurité du serveur en lui-même : tenir son système à jour, avoir des mots de passes forts et utiliser de l'authentification forte. Ok. Quelles distributions ?
- La sécurité du serveur Web : mettre les fichiers sensibles hors du document_root, restreindre l'accès à certains répertoire, etc. Ok, mais il faut couvrir au moins Apache et Nginx.
- La sécurité de la base de données : ne pas utiliser le compte root, ne pas laisser le mot de passe par défaut de root, etc. Ok, à faire au moins pour MySQL, PostgreSQL.
- La sécurité de l'application l'application Web : contrôle l'accès à certaines pages selon des permissions, éviter les failles CSRF, XSS, les injections SQL, etc. Ok, mais avec quels langages ? Quels frameworks ? Et comment fournir quelque chose adaptable pour tout le monde pour les gens qui font tout en vieux PHP from scratch ?
- La sécurité du code métier : empêcher que le mec s'attaque lui-même ou un type qui n'est pas à portée, empêcher que le mec gagne des sous en mettant un prix négatif, etc. Ok, mais ça dépend des besoins de chacun.
Enfin voilà, c'est un sujet extrêmement large et ça décourage les auteurs potentiels : il faut essayer de leur donner plus de pistes qui les aideront à commencer. C'est déjà très dur d'écrire un article, si en plus il faut couvrir un truc immense et/ou mal défini, c'est mission impossible et personne ne s'y aventurera.
à mais je dis pas le contraire, c'est au moins aussi large que mon incompétence sur le sujet d'où mes attentes ^^