Archives du site

Sécurité : Protection faille XSS

Dans un ancien article je vous conseillais d’utiliser des jetons pour vous protéger de la faille CSRF. Cette faille permettait à l’attaquant de d’utiliser vos droits d’administrateur pour faire n’importe quelle action sur votre site. Nous avons bouché la faille.
Cependant le cerveau humain, et plus particulièrement celui des pirates, est très mesquin et ne manque pas d’imagination pour remplir des formulaires en essayant des valeurs exotiques. Par exemple il pourrait tenter d’injecter du code Javascript ou HTML en utilisant la faille XSS.

Initialement appelée CSS (Crossing Site Scripting) cette faille s’appelle finalement XSS pour ne pas la confondre avec les feuilles de style.

Attention, je vous entends déjà dire que, vu que ce langage s’exécute du côté client d’une application, tout code Javascript ne représente pas réellement une faille de sécurité. Détrompez-vous, les injections Javascript sont à la base du vol de session. Oui, le Javascript permet de lire les cookies du visiteurs et donne donc la possibilité de les envoyer à un autre serveur (celui d’un pirate par exemple).

Astuce : Utiliser un focus juste après un morph

J’ai eu un petit soucis l’autre jour par rapport à la connexion des utilisateurs sur un site. Je voulais afficher en fondu un cadre avec un identifiant et un mot de passe puis faire un focus() sur le champ « identifiant ».

$(‘ecran’).fade(1);
$(‘identifiant’).focus();

Le problème vient du fait qu’un focus ne peut se faire que si la case souhaitée est un minimum affichée.

Un diaporama JavaScript sur votre site

Slideshow

Les images sont un peu l’attraction d’un site Internet. Elles permettent de donner vie à du texte qui, même s’il est très intéressant, peu vite ennuyer et amener la fermeture de la page par l’internaute. Quoi de mieux alors qu’un diaporama, si possible attractif, comme vitrine de son établissement ou pour animer un book photo un peu triste.

Cependant, la plupart du temps quand on pense diaporama dynamique, on fait vite le rapprochement avec Flash qui peut vite compliquer la tâche pour les non connaisseurs. Que nenni, JavaScript et l’un de ses Framework Mootools couplé à des classes toutes faites vont faire le travail pour vous (ou presque).

EditArea – Editeur de code source et colorisation syntaxique

Editeur avec colorisation syntaxique

Aujourd’hui je vais vous présenter un outil très intéressant pour les sites de codeurs. Je m’explique : admettons que vous êtes fou de programmation et que vous avez créé un site sur lequel vous donnez vos codes sources. Mais voilà, vous voudriez pouvoir modifier vos codes sources directement en ligne avec un éditeur agréable et surtout un éditeur qui inclus la coloration syntaxique.

Après la lecture de cet article vous serez capable de mettre en place l’éditeur de code source EditArea.