23/11/2005 @ 16:14:19: Google - Google Base, pas très sécure tout cela?
Quelques jours après son lancement, voici déjà une faille, grossière, trouvée dans Google Base!
Imaginez un formulaire pour encoder des données, fait par un débutant, il va tout naturellement sauver tout le texte dans sa table dans sa base de données puis, sans modification, va en réafficher le contenu sur la page destinée à sa publication. On croirait rêver mais oui, ici, l'ingénieur Google à la base de ce projet avait tout simplement affiché au moins un des champs sans la moindre validation permettant donc à quiconque d'exécuter du Javascript sur votre navigateur.
Bien sûr, cela pourrait en rester la mais imaginez ici que Google Base se trouve sur le même domaine que GMail, Adwords et tous les autres services Google et qu'il serait alors possible de lire vos mails ou de modifier vos publicités sur Google, une petite catastrophe en soit. Comme quoi, quand Google dit que c'est en Bêta, ils ne rigolent pas!
Ah oui, pour l'anecdote, la faille a été corrigée en quelques heures après avoir été reportée à Google, mais bon, cela ne fait pas très sérieux pour une entreprise de cette taille tout de même.
l'entreprise y est pour rien, le développeur oui
Bah si, y a peut être un soucis au niveau des tests de sécurité dans le processus de développement. Si cela tombe, ce projet fait partie des projets "persos" sur leur pourcentage de temps à eux, mais et après, qui vérifie si cela ne pose pas un soucis grave de sécurité? C'est quand même pas un site visité par 2 pelés et 3 tondus, la sécurité c'est important
tout le code ne peut pas être vérifié
+1 zion
C'est in-ad-mis-sible
Poire> Non, mais ici il s'agit d'un simple formulaire ou les données ne sont ni validées à l'encodage ni à l'affichage, c'est gros quand même, c'est le premier test qu'on fait
Je cite le manager d'une très grosse société IT dans une réunion interne:
"Faire de la sécurité, c'est important. Nos clients veulent de la sécurité. Mais la sécurité, ça coûte cher. Alors, on fait le minimum de sécurité pour donner au client l'illusion de la sécurité."
Je ne dirai pas de qui il s'agit et ceux qui connaissent mon CV ne devraient pas en tirer de conclusion. Mais je garantis l'authenticité de la citation. Et je suis persuadé que c'est valable pour 99% des grosses boîtes IT.
Merlin> +1, c'est évident c'est toujours la même chose
La faute au client ce type de procédé et de pensée !!!??? Car peut on vraiment dire que cette responsabilité et faute n'incombe que à l'agence ... quand le client ne veut rien savoir ou va se tourner à côté car à côté c'est 5 euros moins cher, mais que à coté on ne lui parlera pas de sécurité (car il ne connait pas ca le client!)!!!???
la messe est dite
Dernière édition: 23/11/2005 @ 18:57:57