Quelques jours après son lancement, voici déjà une faille, grossière, trouvée dans Google Base!
Imaginez un formulaire pour encoder des données, fait par un débutant, il va tout naturellement sauver tout le texte dans sa table dans sa base de données puis, sans modification, va en réafficher le contenu sur la page destinée à sa publication. On croirait rêver mais oui, ici, l'ingénieur Google à la base de ce projet avait tout simplement affiché au moins un des champs sans la moindre validation permettant donc à quiconque d'exécuter du Javascript sur votre navigateur.
Bien sûr, cela pourrait en rester la mais imaginez ici que Google Base se trouve sur le même domaine que GMail, Adwords et tous les autres services Google et qu'il serait alors possible de lire vos mails ou de modifier vos publicités sur Google, une petite catastrophe en soit. Comme quoi, quand Google dit que c'est en Bêta, ils ne rigolent pas!
Ah oui, pour l'anecdote, la faille a été corrigée en quelques heures après avoir été reportée à Google, mais bon, cela ne fait pas très sérieux pour une entreprise de cette taille tout de même.
Imaginez un formulaire pour encoder des données, fait par un débutant, il va tout naturellement sauver tout le texte dans sa table dans sa base de données puis, sans modification, va en réafficher le contenu sur la page destinée à sa publication. On croirait rêver mais oui, ici, l'ingénieur Google à la base de ce projet avait tout simplement affiché au moins un des champs sans la moindre validation permettant donc à quiconque d'exécuter du Javascript sur votre navigateur.
Bien sûr, cela pourrait en rester la mais imaginez ici que Google Base se trouve sur le même domaine que GMail, Adwords et tous les autres services Google et qu'il serait alors possible de lire vos mails ou de modifier vos publicités sur Google, une petite catastrophe en soit. Comme quoi, quand Google dit que c'est en Bêta, ils ne rigolent pas!
Ah oui, pour l'anecdote, la faille a été corrigée en quelques heures après avoir été reportée à Google, mais bon, cela ne fait pas très sérieux pour une entreprise de cette taille tout de même.
Plus d'actualités dans cette catégorie
Commentaires
Poire:
Google Base, pas très sécure tout cela?
l'entreprise y est pour rien, le développeur oui
zion:
Google Base, pas très sécure tout cela?
Bah si, y a peut être un soucis au niveau des tests de sécurité dans le processus de développement. Si cela tombe, ce projet fait partie des projets "persos" sur leur pourcentage de temps à eux, mais et après, qui vérifie si cela ne pose pas un soucis grave de sécurité? C'est quand même pas un site visité par 2 pelés et 3 tondus, la sécurité c'est important
Poire:
Google Base, pas très sécure tout cela?
tout le code ne peut pas être vérifié
ovh:
Google Base, pas très sécure tout cela?
+1 zion
C'est in-ad-mis-sible
C'est in-ad-mis-sible
zion:
Google Base, pas très sécure tout cela?
Poire> Non, mais ici il s'agit d'un simple formulaire ou les données ne sont ni validées à l'encodage ni à l'affichage, c'est gros quand même, c'est le premier test qu'on fait
users_user-179.html:
Google Base, pas très sécure tout cela?
Je cite le manager d'une très grosse société IT dans une réunion interne:
"Faire de la sécurité, c'est important. Nos clients veulent de la sécurité. Mais la sécurité, ça coûte cher. Alors, on fait le minimum de sécurité pour donner au client l'illusion de la sécurité."
Je ne dirai pas de qui il s'agit et ceux qui connaissent mon CV ne devraient pas en tirer de conclusion. Mais je garantis l'authenticité de la citation. Et je suis persuadé que c'est valable pour 99% des grosses boîtes IT.
"Faire de la sécurité, c'est important. Nos clients veulent de la sécurité. Mais la sécurité, ça coûte cher. Alors, on fait le minimum de sécurité pour donner au client l'illusion de la sécurité."
Je ne dirai pas de qui il s'agit et ceux qui connaissent mon CV ne devraient pas en tirer de conclusion. Mais je garantis l'authenticité de la citation. Et je suis persuadé que c'est valable pour 99% des grosses boîtes IT.
ovh:
Google Base, pas très sécure tout cela?
Merlin> +1, c'est évident c'est toujours la même chose
Ppxl:
Google Base, pas très sécure tout cela?
La faute au client ce type de procédé et de pensée !!!??? Car peut on vraiment dire que cette responsabilité et faute n'incombe que à l'agence ... quand le client ne veut rien savoir ou va se tourner à côté car à côté c'est 5 euros moins cher, mais que à coté on ne lui parlera pas de sécurité (car il ne connait pas ca le client!)!!!???
Ppxl:
Google Base, pas très sécure tout cela?
Sam:
Google Base, pas très sécure tout cela?
la messe est dite