Ce résumé est là pour présenter à ceux qui n’ont pas participé aux conférences du 19 Mars 2009, organisées par Gauthier Garnier, les principaux points qui ont été abordés. Lors de cette conférence quatre frameworks devaient être présentés : Zend, Symfony, Ez Components et Jelix. Cependant le représentant de Symfony a eu un empêchement, donc ce framework n’a pas pu être présenté.
Le Cross-Site Request Forgeries (CSRF, prononcez Sea-Surf ou Sea-Surfing) ou Contrefaçon de requêtes multisites est une attaque exploitant la confiance d'un utilisateur pour un site malveillant.
En effet, on va utiliser les permissions qu'a un utilisateur pour site cible (webmail, forum) pour effectuer diverses actions à son insu.
C'est donc une attaque qui a une portée plus étendue.
Étant donné que l'utilisateur est authentifié sur le site cible en question, il est assez difficile de détecter ce genre d'attaque
Le Cross Site Scripting (XSS) est une attaque par lequel est injecté dans un site web, un code malveillant profitant d'une faille dans les contrôles de la validité des données en entré du site.
Concrètement lorsque vous transmettez des paramètres à un site à travers l'URL (donc via la méthode GET), et que celles-ci n'ont pas été vérifiées, traités, et validés (correctement voire pas du tout) alors tout utilisateur malintentionné peut profiter de cette négligence pour faire exécuter un code malicieux.
Attention, à noter qu'il ne faut pas confondre le XSS avec le CSS (Cascading Style Sheet), qui sont les feuilles de style en cascade qui servent à décrire la présentation des documents HTML.
Le nombre de sites web croît exponentiellement d'année en année : on compterait aujourd'hui plus de 185 millions de sites web à travers le monde, c'est deux fois plus qu'il y a deux ans.
Or les sites internet s'exposent naturellement aux attaques qui croient d'année en année.
Pourtant, il serait simple d'en éviter plusieurs rien qu'en adoptant plusieurs bonnes pratiques.
Cet article a pour but de vous sensibiliser sur l'aspect sécurité d'un site web.
Sur ce 1er article, nous verrons quelques bonnes pratiques à adopter ainsi que les failles d'injection SQL
OpenID est un protocole ouvert permettant une authentification unique à travers plusieurs sites (aussi appelé « Single-Sign-On », SSO). On évite ainsi d'avoir à gérer un couple identifiant/mot de passe pour chaque site nécessitant un enregistrement.
Cet article a pour but d'expliquer son fonctionnement et d'intégrer ensuite une authentification en PHP avec la bibliothèque PHP OpenID de JanRain.
L'encodage est quelque chose de toujours problématique surtout avec des applications internationales. De plus en plus on doit ajouter de nombreuses langues et surtout les langues exotiques comme le chinois, le japonais et l'arabe.
Pour vraiment réussir l'utilisation d'un site en UTF-8, il faut vraiment faire attention à ce que toute la chaîne soit bien en UTF-8. Cela peut très rapidement être source de nombreux problèmes incompréhensibles. C'est pourquoi, commencer dès le départ par tous migrer en UTF-8, est la meilleure façon pour réussir.
Il faut vraiment faire attention à que toute la chaîne de production soit vraiment adapté à l'UTF-8. Tout d’abord, il faut que toutes les données soient en UTF-8, cela comprend la base de donnée, mais aussi les fichiers sources du site. Ensuite, il faut indiquer au navigateur que le site est en UTF-8. Pour cela, le navigateur utilise trois facteurs pour déterminer l’encodage. La principale est l’encodage que l’utilisateur choisit dans son navigateur. Il est préférable d’utiliser l’option automatique. Ensuite le navigateur regarde dans les entêtes HTTP, l’option Content-type qui lui indique le format (text/html) et surtout l’encodage à utiliser. Si le navigateur ne trouve pas d’encodage, il va alors regarder dans les informations “méta” de la page html.
Le monde de l'Internet et des sites web s'est développé de manière fulgurante ces dernières années, et aujourd'hui Internet représente un intérêt aussi bien pour les entreprises désireuses d'attirer de nouveaux clients par le biais de ce nouveau média que pour les particuliers souhaitant partager leurs centres d'intérêts. Mais la création de sites web dynamiques (dont le contenu est facilement modifiable sans changer tous les fichiers du site) a trop longtemps été réservée aux développeurs qui devaient réinventer la roue à chaque fois. Ceci a changé grâce à l'arrivée des CMS (Content Management Systems) qui sont des plateformes permettant de créer et d'administrer facilement son site grâce à une interface facile à comprendre et qui ne nécessite aucune connaissance technique. Joomla est un CMS open source, cet article a pour but de vous présenter les bases de Joomla au travers d'un tutorial vous guidant pour créer votre premier site avec Joomla.
Zend Framework est, comme son nom l’indique, un framework de développement pour PHP. Son utilisation a pour objectif de simplifier le développement des grosses applications web par l’ajout de nombreux composants et d’une approche MVC visant à simplifier la tâche des développeurs et à améliorer la qualité du code. Cet article va présenter globalement le ZF afin d’aider à bien cerner son fonctionnement et la façon dont on doit l’utiliser.
Symfony est un framework MVC open-source pour PHP5. Créé en 2005 par Fabien Potencier, il est très fortement inspiré de Ruby-on-Rails. Il applique donc les principes de « convention over configuration » et « Don't Repeat Yourself » (DRY). C'est aujourd'hui un framework mature, reconnu, et utilisé par les grands comme Yahoo. Il s'appuie sur Propel pour l'ORM et YAML pour les fichiers de configuration.