Archives du site

Sécurité : Protection faille XSS

Dans un ancien article je vous conseillais d’utiliser des jetons pour vous protéger de la faille CSRF. Cette faille permettait à l’attaquant de d’utiliser vos droits d’administrateur pour faire n’importe quelle action sur votre site. Nous avons bouché la faille.
Cependant le cerveau humain, et plus particulièrement celui des pirates, est très mesquin et ne manque pas d’imagination pour remplir des formulaires en essayant des valeurs exotiques. Par exemple il pourrait tenter d’injecter du code Javascript ou HTML en utilisant la faille XSS.

Initialement appelée CSS (Crossing Site Scripting) cette faille s’appelle finalement XSS pour ne pas la confondre avec les feuilles de style.

Attention, je vous entends déjà dire que, vu que ce langage s’exécute du côté client d’une application, tout code Javascript ne représente pas réellement une faille de sécurité. Détrompez-vous, les injections Javascript sont à la base du vol de session. Oui, le Javascript permet de lire les cookies du visiteurs et donne donc la possibilité de les envoyer à un autre serveur (celui d’un pirate par exemple).

GWT : Utiliser le compte Google de vos utilisateurs

GWTwitter0.5


Dans le dernier article de GWTwitter nous nous étions arrêté sur une application qui fonctionne et qui est pas trop moche (ou même jolie si vous avez poussé le dernier concept plus loin).
Aujourd’hui nous allons voir comme utiliser les Comptes Google de nos utilisateurs à travers l’API de Google App Engine. Nous pourrons ainsi demander à nos utilisateurs de s’authentifier avec les mêmes identifiants que GMail, Google Calendar ou tout autres applications de Google.

GWT : Application des styles


Nous avons maintenant une application qui fonctionne. Cependant elle n’est pas très jolie, nous allons lui ajouter des couleurs.
Style général
Dans un premier temps nous allons modifier le thème de l’application, c’est lui qui définira la tendance des couleurs. Ce thème se choisi dans le XML du module : GWTwitter.gwt.xml.
Le thème par défaut est le thème […]

Créez et testez votre première application Google Web Toolkit

Aujourd’hui je vous propose un article vraiment simple, mais c’est la base de la base avant de vous lancer dans la création de clients riches avec GWT. Nous allons donc créer une application puis la lancer pour se rendre compte de la manière à utiliser pour la tester sans avoir à la déployer sur un serveur.

Astuce : Utiliser un focus juste après un morph

J’ai eu un petit soucis l’autre jour par rapport à la connexion des utilisateurs sur un site. Je voulais afficher en fondu un cadre avec un identifiant et un mot de passe puis faire un focus() sur le champ « identifiant ».

$(‘ecran’).fade(1);
$(‘identifiant’).focus();

Le problème vient du fait qu’un focus ne peut se faire que si la case souhaitée est un minimum affichée.

Formulaire de contact avec PHPMailer

Formulaire de contactLe formulaire de contact est le premier et le plus simple moyen de communication entre un client et le propriétaire du site. Que ce soit sur un blog pour demander un article à l’administrateur ou sur un site professionnel pour demander un devis, le formulaire de contact se doit d’être simple à remplir et surtout sécurisé pour pouvoir faire le tri entre clients et spams.

Dans cet article nous mettrons en place un formulaire très simple : nom, prénom, @mail, sujet, message. Nous y mettrons un peu d’AJAX pour le rendre plus réactif. La vérification des champs sera très simple : syntaxe mail pour le champ @mail et vérification des caractères [a-z._-] pour les autres champs. Ce qui nous assurera un formulaire sécurisé au niveau des injections de la fonction mail().

Testez les articles en ligne

Suite à la demande d’un lecteur intéressé (Axel DOUX, pour le citer), j’ai le plaisir de vous annoncer que vous pouvez dès à présent tester les articles écris sur ce blog directement en ligne.