Securité du Javascript ? (XMLHttprequest)

Securité du Javascript ? (XMLHttprequest) - HTML/CSS - Programmation

Marsh Posté le 27-12-2005 à 10:06:55    

Bonjour tout le monde,
 
Je me posais une question assez existensielle... Je vous explique basiquement ce que je voudrais savoir:
 
Lors de l'utilisation d'une Web appli AJAX, on récupère des données en javascript (par formulaire dans mon cas) et on envoie le tout en POST ou GET vers une application serveur (PHP dans mon exemple). Je sais que le PHP est relativement sur vu que le client n'y a pas accès, mais au moment ou javascript traite ou récupère les valeurs, n'y a t il pas moyen pour un utilisateur de faire envoyer de mauvaise données? Par exemple dans mon formulaire j'ai un hidden genre un id que j'utiliserais sur ma page php pour faire une requete delete. Je serais assez embete qu'une personne mal intentionné me détruise une mauvaise personne parce qu'il a pu changer les données envoyé au serveur...
 
Ca peut paraitre un peu bête comme question mais je ne connais pas suffisament (tout est relatif) le javascript pour savoir si hormis sa désactivation il y a moyen de le pirater....

Reply

Marsh Posté le 27-12-2005 à 10:06:55   

Reply

Marsh Posté le 27-12-2005 à 10:36:29    

Le risque 0 n'existe pas.

Reply

Marsh Posté le 29-12-2005 à 11:00:54    

Solution la plus simple pour modifier des données dans une page web : l'enregistrer sur le disque puis la modifier et la rouvrir ensuite depuis le disque dur. En plus un certain nombre de navigateurs permettent de modifier le "http-referer" donc on ne peut pas être sur de la page d'où vient une demande http et notament si c'est pas une page sauvagardé en local.
 
Plus évolué : des navigateurs tel que firefox permettent d'installer manuellement des scripts javascripts qui intéragissent ensuite avec la page courante à la demande de l'utilisateur.
 
La réponse est donc évidement non. Il n'y a pas de possibilité d'être sur à 100% qu'aucune donnée n'a été modifié par l'utilisateur ou son navigateur avant envoie ce qui veut dire que tout doit être vérifié côté serveur et surtout il faut prévoir un systéme de gestion des droits qui vérifie à chaque action plustôt qu'un systéme basé sur l'idée que personne ne tentera une action qui lui est normalement interdite.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed