javascript et la s�curit� ?

**yacine.dev** · 17/03/2010, 13h43

Bonjour.
Voici un probl�me de s�curit� avec javascript. Par exemple
une fonction :

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
5
6
7
8
9
10
11
12
13
function modifierRDV(action,codRDV,etaRDV){
 
	dtRDVo=getObjectById("dtRDV").value;
	alert(dtRDVo);
	heurMnt=getObjectById("heurRendeVou").value;
	reqe="RDVou.do?action="+action+"&codRDV="+codRDV;
 
//fonction qui envoie et récupère les données 
 
    envoyerReq(reqe,'divRDVs',false);
 
    affichRDVs();
}

le probl�me est que si un utilisateur lit ce script et qu'il met dans la barre d'adresse :
nom de site web/reqe="RDVou.do?action="+action+"&codRDV="+codRDV;
le serveur va ex�cuter la requ�te.
Comment �viter d'avoir un tel sc�nario ?

Bref : l'utilisateur connait le chemin pour ex�cuter une op�ration qui n�cessite d'avoir effectu� une condition en pr�alable (ex : se connecter, remplir une zone de texte) mais puisque l'utilisateur connait le chemin il ne va pas remplir la zone de texte... il va essayer d'envoyer dans la barre d'adresse l'url donc interroger directement le serveur sans passer par le script.

Si vous n'avez pas compris ma question merci de le signaler.
Merci d'avance .

**SpaceFrog** · 17/03/2010, 14h26

passe les donn�es en post ...
mais �a ne resoudra pas le probl�me de transmission des donn�s car on peut tout de m�me envoyer des donn�es en post ...

Ce n'est pas au niveau javascript que cela se s�curise ...

a toi de prevoir ce que l'utilisateur peut faire et comment l'en en empecher ...
il faut tester les donn�es cot� serveur.

**yacine.dev** · 17/03/2010, 15h50

M�me si je fais l'envoi en post ; puisque l'envoi est � partir du script js, l'utilisateur peut les charger et connaitre les urls qui se trouvent dans mes fonctions puis utiliser ces urls .
Que dois-je faire?
Y a-t-il une possibilit� d'emp�cher les clients de charger les scripts js ? Sachant que j'appelle des scripts externes dans mes pages jsp ou html.
Merci d'avance

**E.Bzz** · 17/03/2010, 16h36

Bonjour,
tu as d� louper la derni�re phrase de SpaceFrog :

Envoy� par SpaceFrog

il faut tester les donn�es cot� serveur.

C'�tait la plus importante

A+

**Bovino** · 17/03/2010, 17h08

Envoy� par yacine.dev

Y a-t-il une possibilit� d'emp�cher les clients de charger les scripts js ?

Ben si tu veux que les scripts soient ex�cut�s, il faut bien qu'ils soient charg�s

**yacine.dev** · 17/03/2010, 17h23

Envoy� par E.Bzz

Bonjour,
tu as d� louper la derni�re phrase de SpaceFrog :
C'�tait la plus importante

A+

Mais c'est tr�s fastidieux de v�rifier cot� client et cot� serveur.y'a pas de solution?pourrons dire que c'est l'un des d�faut d'utiliser javascript?

**E.Bzz** · 17/03/2010, 17h43

Envoy� par yacine.dev

Mais c'est tr�s fastidieux de v�rifier cot� client et cot� serveur.y'a pas de solution?pourrons dire que c'est l'un des d�faut d'utiliser javascript?

Pas vraiment, non.
C'est peut �tre toi qui te fais une mauvaise id�e de Javascript

S'il n'y a qu'un seul des 2 contr�les � faire, c'est sur le serveur.

Le contr�le Javascript n'est l� que pour le confort de l'utilisateur, mais ne peut (et ne doit) pas �tre consid�r� comme une s�curit�.

A+

**yacine.dev** · 17/03/2010, 18h17

Envoy� par E.Bzz

S'il n'y a qu'un seul des 2 contr�les � faire, c'est sur le serveur.

Le contr�le Javascript n'est l� que pour le confort de l'utilisateur, mais ne peut (et ne doit) pas �tre consid�r� comme une s�curit�.

A+

oui j'ai compris,merci.

**yacine.dev** · 18/03/2010, 13h49

Bonjour
je cherche vraiment a bien s�curiser mon application voila une faille qui peut �tre tr�s dangereux sur un application web.

urlx: dans mon application ce url est toujours ex�cut� via une fonction ajax.

je cherche � refuser urlx quand sa prevenace est de la barre d'adresse.

pourquoi?

c'est la seule diff�rence que j'ai trouv� entre un utilisateur tol�rant et l'autre (celui que si je le trouvrai je le supprimerais de la vie(avec une l'instruction sonNom.delete;

)celui qui veut ex�cuter des requ�tes par la barre d'adresse sans passer par les fonctions javascript et donner de fausses param�tres (je ne parle pas de type) comme il est sit� au dessus ,valider des rendez-vous non affich�s dans la page en changeant la valeur de param�tres codrendezvou
mais par exemple :
dans une page j'affiche les rendez-vous � valider seulement
rdv num=1 bouton :valider
rdv num=2 bouton :valider(cet bouton appelle une fonction en envoyant avec, le num de rendezVous,la fonction le recup�r� puis l'envoie dans urlx pour valider ce rendez-vous

mais on pourra valider le rendez-vous numero 4(qui n'est pas dans la liste des rendez vous � valider) en envoyant la urlx via barre d'adresse et changant la valeur de param�tre coderendezvous.

le serveur n'a qu'a recevoir l'url et teste les param�tres et ex�cuter le code

c'est ici que je me suis dis il faut savoir si la requ�te est envoy�e par ajax c'est � dire c'est la page qu'a envoy� la requ�te
sinon ne rien ex�cuter.

je sais pas si avec send(data) de ajax je pourrais distinguer entre les param�tres concat�n�s avec l'url et ceux dans req.send(data);

merci de me proposer quelques id�e comme m�me �a reste une r�f�rence pour ceux qui cherche la m�me chose.

**Gatsu35** · 18/03/2010, 14h36

OU PAS.
Tu ne r�fl�chis pas du tout comme il faut r�fl�chir l�.
Tu veux d�tecter si l'url viens d'une action Ajax ou pas, mais si je te dis que je peux moi meme simuler que cette URL vient d'une action Ajax ? tu fais quoi ?

Tu dois obligatoirement sur ton fichier tester les droits de l'utilisateur, et si cet utilisateur a le droit de faire cette action ou pas. et donc en utilisant les informations de session que tu as en ta possession. Et c'est pas compliqu� cot� PHP.

**yacine.dev** · 18/03/2010, 15h58

Bonjour

Envoy� par Gatsu35

OU PAS.

Tu veux d�tecter si l'url viens d'une action Ajax ou pas, mais si je te dis que je peux moi meme simuler que cette URL vient d'une action Ajax ? tu fais quoi ?
.

�a je ne sais pas comment?

Envoy� par Gatsu35

OU PAS.

Tu dois obligatoirement sur ton fichier tester les droits de l'utilisateur, et si cet utilisateur a le droit de faire cette action ou pas. et donc en utilisant les informations de session que tu as en ta possession. Et c'est pas compliqu� cot� PHP.

ce n'est pas le probl�me de droit car il peut avoir le droit et il veut valider un rendez-vous non figurant dans la page comme j'ai expliqu� (message pr�cedent)il change la valeur de param�tre codrendezvou et voila le serveur va verifier les droits (ok)et il validera le rendezvous dont le code est envoy� par le client(validRDV.do?codeRendezvous=valeur que je veux) et non pas le rendez-vous affich� dans la page

-----liste de rendez-vous a valider------
codRendezvou :1---- bouton valider

y' a pas une diff�rence entre l'envoi dans la barre d'adresse et l'envoie d'ajax?

**Bovino** · 18/03/2010, 20h04

Envoy� par yacine.dev

y' a pas une diff�rence entre l'envoi dans la barre d'adresse et l'envoie d'ajax?

Il peut y avoir des diff�rences si tu d�finis des headers sp�cifiques dans ta requ�te AJAX (typiquement, X-Requested-With, comme le fait jQuery).
Ceci dit, comme le souligne Gatsu35, cela n'emp�chera pas de pouvoir "simuler" ta requ�te avec des mauvaises valeurs.

Ce qui revient � ce que tout le monde te dit depuis le d�but : tu ne peux pas contr�ler avec JavaScript les donn�es qui sont envoy�es au serveur, c'est donc cot� serveur que tu dois t'assurer que ce que tu re�ois est valide !

**yacine.dev** · 19/03/2010, 09h44

ok,merci � vous tous

**E.Bzz** · 19/03/2010, 09h57

Dans ton cas, lors de la g�n�ration de la page, tu pourrais m�moriser sur le serveur (variable session) les rendez-vous que l'utilisateur aura le droit de modifier ainsi que le type de modification.

Ainsi, lorsque ton serveur re�oit la requ�te, tu n'as plus qu'� comparer.
Si elle ne fait pas partie de la liste, tu renvoies un message d'erreur, sinon, c'est tout bon.

Dans ce cas, quelques soient les tentatives de contournement, il ne peut modifier que ce qui est pr�vu.
Si il s'amuse � bidouiller dans la barre d'adresse, c'est son probl�me : tant que la requ�te re�ue est valide il n'y a plus de danger

A+

**yacine.dev** · 19/03/2010, 11h09

Oui ,c'est exactement ce que je fais maintenant ,je teste la validit� de requ�te et si il n'est pas logique ex

il valide un rendes-vous d�ja valid� =>le serveur affiche une page d'erreur).Mais je ne dois pas enregister la liste de rendez-vous dans la session il faut dans chaque modification interroger la base de donn�e(select les rendez-vous...)pourquoi??
il peut que les informations de base de donn�e changent et la session conserve des anciennes donn�e (comme les r�servations des places d'avion). dans ce cas le serveur teste sur des donn�es anciennes ce qui engendre � une perturbation de validation.

le fait d'interroger la base de donn� chaque fois ,�a n'alourdit pas la vitesse surtout que j'utilise hibernate?.

Que vous en dites??

Merci.

**E.Bzz** · 19/03/2010, 11h18

Les 2 probl�mes sont diff�rents :

si il tente de modifier un rendez-vous que tu n'avais pas pr�vu et m�moris� au moment de la g�n�ration de la page => "Vous n'avez pas le droit de ..."
si il modifie un rendez-vous que tu avais autoris� au moment de la g�n�ration, mais que des modifications effectu�es entretemps ont rendu non modifiables => "Il n'est plus possible de modifier ce rendez-vous parce que ..."

Dans le 1� cas, tu peux faire le contr�le directement � r�ception de la requ�te sur le serveur (en comparant avec ta liste m�moris�e).
Dans le 2� cas, puisqu'il aura pass� le 1� contr�le, c'est s�rement au moment de mettre � jour la base de donn�es que le probl�me sera d�tect� et que tu pourras renvoyer le message appropri� (la fin de la phrase "parce que ...")

A+

**yacine.dev** · 19/03/2010, 12h03

Envoy� par E.Bzz

Dans le 2� cas, puisqu'il aura pass� le 1� contr�le, c'est s�rement au moment de mettre � jour la base de donn�es que le probl�me sera d�tect� et que tu pourras renvoyer le message appropri� (la fin de la phrase "parce que ...")

donc je dois faire deux contr�le le premier celui avec la liste m�moris� => le deuxi�me test ,quand je mets � jour le champs etaRendevou
(if(etaRendevou=="nonModifiable") => renvoyez � la page d'erreur)
si oui mais il peut qu'un rendez-vous au moment de la g�n�ration est non modifiable et au moment de l'envoie de requ�te sera modifiable donc on passera pas le premier test.

**E.Bzz** · 19/03/2010, 12h13

Envoy� par yacine.dev

si oui mais il peut qu'un rendez-vous au moment de la g�n�ration est non modifiable et au moment de l'envoie de requ�te sera modifiable donc on passera pas le premier test.

Oui, mais c'est ton appli, donc �a c'est � toi de voir

Ce n'est pas un probl�me technique mais fonctionnel ...

A+