22-12-2013, 12:42 PM
Salut,
cela ressemble à la traduction de ce qu'on peut trouver sur le site de l'OWASP. L'article me semble bon, bien que je l'ai juste survolé. En revanche, je trouve certaines solutions malvenues, principalement l'approche "blacklist" des deux premières failles (injection et XSS). L'approche "whitelist" est clairement privilégiée et conseillée (simplement car la blacklist présente le défaut d'être forcément en retard par rapport aux attaques).
J'ajouterai aussi que si l'utilisateur veut mettre un mot de passe moisi ("1234"), le site ne devrait pas le lui interdire, seulement lui signaler. S'il se fait voler son compte, c'est son problème: il était prévenu.
Je m'éloigne un peu du sujet, mais toujours dans le domaine des mdp, comme ils sont hashés, toute chaine binaire est acceptable en entrée y compris les caractères spéciaux... La seule limite peut être la longueur de chaine. C'est très emm*dant d'avoir un site qui dit "votre mdp est trop simple!" puis qui continue par "votre mdp contient des caractères spéciaux interdits" quand on veut complexifier ce pass >.<
cela ressemble à la traduction de ce qu'on peut trouver sur le site de l'OWASP. L'article me semble bon, bien que je l'ai juste survolé. En revanche, je trouve certaines solutions malvenues, principalement l'approche "blacklist" des deux premières failles (injection et XSS). L'approche "whitelist" est clairement privilégiée et conseillée (simplement car la blacklist présente le défaut d'être forcément en retard par rapport aux attaques).
J'ajouterai aussi que si l'utilisateur veut mettre un mot de passe moisi ("1234"), le site ne devrait pas le lui interdire, seulement lui signaler. S'il se fait voler son compte, c'est son problème: il était prévenu.
Je m'éloigne un peu du sujet, mais toujours dans le domaine des mdp, comme ils sont hashés, toute chaine binaire est acceptable en entrée y compris les caractères spéciaux... La seule limite peut être la longueur de chaine. C'est très emm*dant d'avoir un site qui dit "votre mdp est trop simple!" puis qui continue par "votre mdp contient des caractères spéciaux interdits" quand on veut complexifier ce pass >.<