Il y a une nuance et pas des moindres entre Hacker et Kevin de passage. Si tu n'as pas le temps de relire tout le code, en tant que responsable de l'aspect sécurité, tu pourrais au moins exécuter quelques outils d'analyse de base (have a look http://sectools.org/) plutôt que de faire impasse sur du fatalisme. De même que mourrons tous un jour, tu as bien un hygiène de vie, non ?
Et un petit outil qui t'évitera une relecture fastidieuse et te fournira quelques données utiles sur le code en lui même : http://www.icosaedro.it/phplint/ Pierre. Le dimanche 28 février 2010 à 08:16 +0100, Greg a écrit : > La différence ici c'est que le gars ne s'est pas contenté de faire > mumuse avec notre site, il a essayé de voler des informations, ce n'est > pas juste un bot de passage. Si je veux creuser plus loin, c'est pour > essayer de savoir si c'est un concurrent. On subit régulièrement des > attaques, des bots, du phishing des (gros) concurrents outre-atlantique. > Et ils s'en sortent ! Le fait d'avoir lancer une enquête les empêche de > continuer pour quelques mois voir années. Et de savoir qui c'est, pour > prendre des mesures supplémentaires. > > Moi aussi ça me fait saigner les yeux (chez moi) ou hurler (au taf) > quand je vois des énormités pareilles... Surtout que c'est moi qui répare. > > Je pensais sensibiliser suffisamment les développeurs aux problèmes de > sécurité, suffisamment pour passer pour parano :) Je ne peux pas passer > derrière tout leur code, il n'y a pas que 100k de ligne mais des > millions, même un grep ne serait pas simple comme les requêtes sont dans > des variables, multilignes, etc.... il faudrait revoir absolument tout > le code. > J'ai assisté à quelques "salons du hacker" (FRHACK, Insomni'hack, ...) > et j'en suis ressortis fataliste: si un hacker veut passer, il passera. > Ils arrivent à passer les agences gouvernementales (google le nouveau > robin des bois), personne ne fait zéro erreur. > -- Pierre Jaury <pie...@jaury.eu> -----BEGIN GEEK CODE BLOCK----- Version: 3.12 GCS d- s+:- a-- C++ UL+++ P++ L+++ E W+++ N++ o-- K w-- O- M- V- PS+ PE Y PGP+++ t++ 5 X R tv b++ DI+ D G+ e++ h- r++ y+ ------END GEEK CODE BLOCK------
signature.asc
Description: Ceci est une partie de message numériquement signée
