Est-il possible en Web avec des outils un peu sioux (genre firebug ou
autre) de modifier directement des valeurs de champs cachés en
execution d'une page d'un site ?
Et de perturber le traitement du site ensuite côté serveur.
Par exemple, on me dit que je dispose d'un crédit de 100 ¤ et si
j'achete qq chose à 200, je me fais jeter.
Est-il possible de le "ruser" et de modifier la valeur navigateur pour
dire j'ai 300 ?
--
Eric Roumégou
Webmaster des wtablettes
http://cerbermail.com/?qE7t4Qvilo
(cliquez sur le lien ci-dessus pour me contacter en privé)
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Daireaux Jean-Baptiste
Roumégou Eric a écrit :
Est-il possible en Web avec des outils un peu sioux (genre firebug ou autre) de modifier directement des valeurs de champs cachés en execution d'une page d'un site ?
Et de perturber le traitement du site ensuite côté serveur.
Par exemple, on me dit que je dispose d'un crédit de 100 € et si j'achete qq chose à 200, je me fais jeter. Est-il possible de le "ruser" et de modifier la valeur navigateur pour dire j'ai 300 ?
De manière général, un serveur ne doit pas faire confiance au client surtout en mode web. Donc l'info du crédit de 100€ peut être indiqué au client dans l'intérêt de l'interface. Mais jamais, le client ne doit indiquer son crédit au serveur. Le serveur doit le savoir sans que cela figure dans les données échangées entre le client et le serveur.
Dans le meilleur des cas, il faut considérer d'un point de vu serveur que tu ne sais pas avec quoi tu échanges. ( IE 6-7-8, Mozilla, Mon programme que j'ai bidouillé en c++ et qui écoute le port 80, ...)
J.B.D.
Roumégou Eric a écrit :
Est-il possible en Web avec des outils un peu sioux (genre firebug ou
autre) de modifier directement des valeurs de champs cachés en execution
d'une page d'un site ?
Et de perturber le traitement du site ensuite côté serveur.
Par exemple, on me dit que je dispose d'un crédit de 100 € et si
j'achete qq chose à 200, je me fais jeter.
Est-il possible de le "ruser" et de modifier la valeur navigateur pour
dire j'ai 300 ?
De manière général, un serveur ne doit pas faire confiance au client
surtout en mode web. Donc l'info du crédit de 100€ peut être indiqué au
client dans l'intérêt de l'interface. Mais jamais, le client ne doit
indiquer son crédit au serveur. Le serveur doit le savoir sans que cela
figure dans les données échangées entre le client et le serveur.
Dans le meilleur des cas, il faut considérer d'un point de vu serveur
que tu ne sais pas avec quoi tu échanges. ( IE 6-7-8, Mozilla, Mon
programme que j'ai bidouillé en c++ et qui écoute le port 80, ...)
Est-il possible en Web avec des outils un peu sioux (genre firebug ou autre) de modifier directement des valeurs de champs cachés en execution d'une page d'un site ?
Et de perturber le traitement du site ensuite côté serveur.
Par exemple, on me dit que je dispose d'un crédit de 100 € et si j'achete qq chose à 200, je me fais jeter. Est-il possible de le "ruser" et de modifier la valeur navigateur pour dire j'ai 300 ?
De manière général, un serveur ne doit pas faire confiance au client surtout en mode web. Donc l'info du crédit de 100€ peut être indiqué au client dans l'intérêt de l'interface. Mais jamais, le client ne doit indiquer son crédit au serveur. Le serveur doit le savoir sans que cela figure dans les données échangées entre le client et le serveur.
Dans le meilleur des cas, il faut considérer d'un point de vu serveur que tu ne sais pas avec quoi tu échanges. ( IE 6-7-8, Mozilla, Mon programme que j'ai bidouillé en c++ et qui écoute le port 80, ...)
J.B.D.
Eric Demeester
dans (in) fr.comp.developpement.agl.windev, Roumégou Eric ecrivait (wrote) :
Bonjour Éric,
Est-il possible en Web avec des outils un peu sioux (genre firebug ou autre) de modifier directement des valeurs de champs cachés en execution d'une page d'un site ?
Inutile d'avoir un outil sioux, un éditeur de texte suffit pour modifier les données renvoyées au serveur.
Mais comme le dit Jean-Baptiste, si cela suffit à tromper le serveur, c'est que l'application est mal écrite.
-- Eric
dans (in) fr.comp.developpement.agl.windev, Roumégou Eric
<UtilisezleLien@fin.msg> ecrivait (wrote) :
Bonjour Éric,
Est-il possible en Web avec des outils un peu sioux (genre firebug ou
autre) de modifier directement des valeurs de champs cachés en
execution d'une page d'un site ?
Inutile d'avoir un outil sioux, un éditeur de texte suffit pour modifier
les données renvoyées au serveur.
Mais comme le dit Jean-Baptiste, si cela suffit à tromper le serveur,
c'est que l'application est mal écrite.
dans (in) fr.comp.developpement.agl.windev, Roumégou Eric ecrivait (wrote) :
Bonjour Éric,
Est-il possible en Web avec des outils un peu sioux (genre firebug ou autre) de modifier directement des valeurs de champs cachés en execution d'une page d'un site ?
Inutile d'avoir un outil sioux, un éditeur de texte suffit pour modifier les données renvoyées au serveur.
Mais comme le dit Jean-Baptiste, si cela suffit à tromper le serveur, c'est que l'application est mal écrite.
-- Eric
Roumégou Eric
Eric Demeester a pensé très fort :
dans (in) fr.comp.developpement.agl.windev, Roumégou Eric ecrivait (wrote) :
Bonjour Éric,
Est-il possible en Web avec des outils un peu sioux (genre firebug ou autre) de modifier directement des valeurs de champs cachés en execution d'une page d'un site ?
Inutile d'avoir un outil sioux, un éditeur de texte suffit pour modifier les données renvoyées au serveur.
Mais comme le dit Jean-Baptiste, si cela suffit à tromper le serveur, c'est que l'application est mal écrite.
okay, merci de vos réponses. nous faisons les contrôles sur le serveur aussi. mais comme ce sont des transactions nombreuses et condensées sur une mème période, nous avons pas mal de traitements côté navigateur.
-- Eric Roumégou Webmaster des wtablettes http://cerbermail.com/?qE7t4Qvilo (cliquez sur le lien ci-dessus pour me contacter en privé)
Eric Demeester a pensé très fort :
dans (in) fr.comp.developpement.agl.windev, Roumégou Eric
<UtilisezleLien@fin.msg> ecrivait (wrote) :
Bonjour Éric,
Est-il possible en Web avec des outils un peu sioux (genre firebug ou
autre) de modifier directement des valeurs de champs cachés en
execution d'une page d'un site ?
Inutile d'avoir un outil sioux, un éditeur de texte suffit pour modifier
les données renvoyées au serveur.
Mais comme le dit Jean-Baptiste, si cela suffit à tromper le serveur,
c'est que l'application est mal écrite.
okay, merci de vos réponses.
nous faisons les contrôles sur le serveur aussi.
mais comme ce sont des transactions nombreuses et condensées sur une
mème période, nous avons pas mal de traitements côté navigateur.
--
Eric Roumégou
Webmaster des wtablettes
http://cerbermail.com/?qE7t4Qvilo
(cliquez sur le lien ci-dessus pour me contacter en privé)
dans (in) fr.comp.developpement.agl.windev, Roumégou Eric ecrivait (wrote) :
Bonjour Éric,
Est-il possible en Web avec des outils un peu sioux (genre firebug ou autre) de modifier directement des valeurs de champs cachés en execution d'une page d'un site ?
Inutile d'avoir un outil sioux, un éditeur de texte suffit pour modifier les données renvoyées au serveur.
Mais comme le dit Jean-Baptiste, si cela suffit à tromper le serveur, c'est que l'application est mal écrite.
okay, merci de vos réponses. nous faisons les contrôles sur le serveur aussi. mais comme ce sont des transactions nombreuses et condensées sur une mème période, nous avons pas mal de traitements côté navigateur.
-- Eric Roumégou Webmaster des wtablettes http://cerbermail.com/?qE7t4Qvilo (cliquez sur le lien ci-dessus pour me contacter en privé)
Eric Demeester
dans (in) fr.comp.developpement.agl.windev, Roumégou Eric ecrivait (wrote) :
Bonjour Éric,
nous faisons les contrôles sur le serveur aussi.
C'est indispensable...
mais comme ce sont des transactions nombreuses et condensées sur une mème période, nous avons pas mal de traitements côté navigateur.
En environnement client/serveur en général et en environnement Web en particulier, il ne faut jamais faire confiance aux données envoyées par le client, ou du moins il faut toujours s'en méfier et les contrôler...
Si tu as besoin d'un audit de sécurité sérieux côté serveur (en l'occurrence une batterie de tests d'intrusion féroces depuis l'extérieur), je peux fournir. Si ça t'intéresse, contacte-moi en privé (mon adresse est valide).
-- Eric
dans (in) fr.comp.developpement.agl.windev, Roumégou Eric
<UtilisezleLien@fin.msg> ecrivait (wrote) :
Bonjour Éric,
nous faisons les contrôles sur le serveur aussi.
C'est indispensable...
mais comme ce sont des transactions nombreuses et condensées sur une
mème période, nous avons pas mal de traitements côté navigateur.
En environnement client/serveur en général et en environnement Web en
particulier, il ne faut jamais faire confiance aux données envoyées par
le client, ou du moins il faut toujours s'en méfier et les contrôler...
Si tu as besoin d'un audit de sécurité sérieux côté serveur (en
l'occurrence une batterie de tests d'intrusion féroces depuis
l'extérieur), je peux fournir. Si ça t'intéresse, contacte-moi en privé
(mon adresse est valide).
dans (in) fr.comp.developpement.agl.windev, Roumégou Eric ecrivait (wrote) :
Bonjour Éric,
nous faisons les contrôles sur le serveur aussi.
C'est indispensable...
mais comme ce sont des transactions nombreuses et condensées sur une mème période, nous avons pas mal de traitements côté navigateur.
En environnement client/serveur en général et en environnement Web en particulier, il ne faut jamais faire confiance aux données envoyées par le client, ou du moins il faut toujours s'en méfier et les contrôler...
Si tu as besoin d'un audit de sécurité sérieux côté serveur (en l'occurrence une batterie de tests d'intrusion féroces depuis l'extérieur), je peux fournir. Si ça t'intéresse, contacte-moi en privé (mon adresse est valide).
