{"id":259,"date":"2012-12-05T08:26:32","date_gmt":"2012-12-05T08:26:32","guid":{"rendered":"http:\/\/bdenisb.wordpress.com\/?p=238"},"modified":"2012-12-05T08:26:32","modified_gmt":"2012-12-05T08:26:32","slug":"javascript-faille-de-securite","status":"publish","type":"post","link":"https:\/\/lig-membres.imag.fr\/denisb\/javascript-faille-de-securite\/","title":{"rendered":"Javascript – Faille de s\u00e9curit\u00e9 ?"},"content":{"rendered":"

Javascript a de nombreux avantages (open, ind\u00e9pendant d’un os, beaucoup utilis\u00e9, …), c’est pourquoi je milite pour que les d\u00e9veloppements dans le monde de l’\u00e9ducation puissent aussi reposer dessus c’est possible, (j’en ai fait la preuve avec edba<\/a>, lire cet article<\/a>) et donnent lieu \u00e0 des applications sous forme de pages web autonomes (seul besoin pour les faire fonctionner cot\u00e9 utilisateur : un navigateur web et une connexion au r\u00e9seau ; cot\u00e9 d\u00e9veloppeur, une fois d\u00e9velopp\u00e9e, la page web peut \u00eatre d\u00e9pos\u00e9e sur un serveur web minimal). Cependant, jusqu’\u00e0 maintenant, j’avais un doute : tr\u00e8s souvent, l’utilisation de javascript ne prends pas en compte les possibles tentatives de fraude et il s’av\u00e8re qu’il est assez souvent facile d’arriver \u00e0 r\u00e9pondre \u00e0 un quizz, un qcm, … sans connaitre la r\u00e9ponse mais en allant chercher dans le code quelle est la r\u00e9ponse attendue. C’est particuli\u00e8rement vrai pour des pages reposant uniquement sur javascript. Une solution pour \u00e9viter cela consiste \u00e0 introduire un peu de PHP dans l’application, code d\u00e9pos\u00e9 sur le serveur pour y faire l’analyse des r\u00e9ponses (laisser le javascript sur le poste client analyser les r\u00e9ponses, c’est prendre le risque de laisser la main \u00e0 l’utilisateur pour qu’il regarde comment l’analyse se fait, ou la simuler pour voir le r\u00e9sultat, ou … -toute m\u00e9thode de reverse engineering qui permet de retrouver les r\u00e9ponses), le code sur le serveur est inattaquable (enfin, presque …) et assure la s\u00e9curit\u00e9 du syst\u00e8me. L’inconv\u00e9nient, c’est que le projet n’est plus totalement open, qu’il ne peut plus tenir dans une page web unique et qu’il faut connaitre javascript+php pour le d\u00e9velopper. Cela fait beaucoup.<\/p>\n

Un autre soucis avec Javascript concerne des projets plus gros qui auraient besoin d’un base de\u00a0 donn\u00e9es centralis\u00e9e sur un serveur (il y en a, et particuli\u00e8rement dans le domaine de la recherche o\u00f9 l’on veut conserver une trace de l’activit\u00e9 pour en faire l’analyse). Tout faire en javascript semble difficile car l’acc\u00e8s aux bases de donn\u00e9es se fait en g\u00e9n\u00e9ral \u00e0 partir des serveurs et non des clients (et donc \u00e0 nouveau en php, par exemple), ou \u00e0 partir d’application standard (hors navigateur) pour avoir des droits \u00e9tendus sur l’acc\u00e9s au r\u00e9seau (ou au disque dur). Pour les applications web tenant dans une page web, c’est \u00e0 dire pour les application web fonctionnant dans un navigateur, cela passe par une partie du code sur le client (en g\u00e9n\u00e9ral javascript), et une partie sur le serveur (en g\u00e9n\u00e9ral php). Pour diverses raisons, et en particulier des raisons de s\u00e9curit\u00e9, la part php est in\u00e9vitable et ne se r\u00e9duit pas \u00e0 laisser rebondir la demande javascript directement vers le serveur. Pour certaines requ\u00eates sur la base de donn\u00e9es, le simple rebond est possible : pour la consultation des parties publiques de la base, par exemple ; pour d’autres requ\u00eates un petit probl\u00e8me de confidentialit\u00e9 peut surgir : consultation d’informations personnelles ; pour d’autre encore, c’est un trop gros probl\u00e8me pour imaginer utiliser un simple rebond : par exemple pour l’acc\u00e8s en \u00e9criture\/modification\/suppression sur l’ensemble de la base (par erreur ou \u00e0 dessein, un utilisateur peut alors alt\u00e9rer\/d\u00e9truire le contenu de la base).<\/p>\n

Faut-il se r\u00e9soudre \u00e0 apprendre php … ? Non, pas n\u00e9cessairement … Pour les probl\u00e8mes de triches aux QCM, il y a moyen de compliquer un peu le code d’\u00e9valuation d’une r\u00e9ponse \u00e0 un test pour que le reverse engineering soit difficile (sans que le travail demand\u00e9 pour la modification de code soit tr\u00e8s importante) : ne pas mettre en clair la r\u00e9ponse (\u00e9ventuellement la coder, mais cela ne suffit pas toujours), au lieu d’analyser une seule r\u00e9ponse \u00e0 la fois, il est pr\u00e9f\u00e9rable d’en prendre plusieurs en m\u00eame temps (la combinatoire des r\u00e9ponses possibles est alors plus grande et ne peut \u00eatre test\u00e9e par essai\/erreur), et utiliser une fonction asym\u00e9trique (type MD5) pour voir les r\u00e9sultats. Ce sera un r\u00e9sultat global, avec un m\u00e9canisme de type code-correcteur, on peut \u00e0 partir de plusieurs r\u00e9sultats globaux de ce genre identifier le nombre d’erreur, et selon la m\u00e9thode employ\u00e9e localiser les erreurs (mais alors il y a moyen de faire du reverse engineering). Pour l’acc\u00e8s au base de donn\u00e9es, la solution vient d’un travail d’identification de la demande avec mot de passe, mais attention, un vrai identification, et qui prend en compte le fait que le code javascript est visible : cela peut se faire avec un syst\u00e8me \u00e0 cl\u00e9 publique (comme pour rsa). La bonne nouvelle, dans un cas comme dans l’autre, c’est que les algorithmes un peu compliqu\u00e9s (MD5, RSA) sont disponibles en javascript (il y a beaucoup de choses en javascript, c’\u00e9tait d\u00e8j\u00e0 une bonne nouvelle<\/a> il y a quelques ann\u00e9es) :<\/p>\n