Discussion :

[psyghost]

Bonjour,

J'ai besoin de votre aide et d'un maximum d'informations concernant le sujet suivant:

J'ai l'intention de developpez un site web qui traite des informations boursiers et financiers assez sensibles lié transactionnellement avec des SI de banques.

L'idée est de développez avec le CMS Drupal et le site sera hébergé dans un serveur dédié.

Ma première préoccupation est ce que pour des informations assez sensibles le CMS Drupal est il fiable ? le niveau de sécurité est il à la hauteur ?

PS : On m' a dit que principalement ce genre d'appli doivent être développé en Java + oracle et surtout pas avec un CMS !! ont ils raison ?


Merci d'avance de votre aide

[grunk]

Les CMS (open source en tout cas) sont forcément moins sécurisé qu'un code fait maison (à qualité de code égale) puisque n'importe qui peut se pencher dans le code pour trouver des failles.
De plus entre le moment ou une faille est révélée et ou elle est patché il peut se passer des jours que tu risque de trouver longs si tes données sont sensibles.

Après pour ce qui est des technos à utiliser je ne m'avancerais pas , c'est un milieu que je ne connais pas.
Mais effectivement si des calculs lourds sont nécessaire JAVA pourrait peut être se révéler plus performant que php.
Si en revanche c'est une question purement sécuritaire , je suis pas convaincu que l'un soit meilleur que l'autre.

[Benjamin Delespierre]

De plus, si l'activité de ton site est vraiment spécifique, il y a de grandes chances pour qu'un CMS ne puisse pas vraiment s'y adapter (aussi générique soit-il).

Au final, il sera certainement préférable de coder à la main - voire en utilisant un framework mais on retrouvera le problème cité précédemment par grunk à savoir que les framework sont la plupart du temps open source et que des failles de sécurité peuvent apparaitre.

Beaucoup de gens viennent sur ce forum pour demander "est ce que Joomla peut faire ci, est ce que Magento peut faire ça..." Il ne faut pas perdre de vue qu'un CMS c'est une boite avec un usage et un but précis, le tordre pour le faire correspondre à un besoin est dangereux et souvent plus chronophage que le développement direct.

On m' a dit que principalement ce genre d'appli doivent être développé en Java + oracle et surtout pas avec un CMS !! ont ils raison ?

En effet, les CMS sont pour la plupart développés en PHP, le code sur le serveur est donc en clair. En utilisant les JSP les classes Java sont compilées donc pour comprendre la logique de l'application il faut nettement plus de temps. C'est un problème qu'on rencontre souvent quand on vends un produit web. Oracle quand à lui n'est pas radicalement plus sécurisé qu'un autre DBMS, mais il à la réputation d'être fiable et surtout de pouvoir manipuler de grands jeux de données de manière sécurisé (donc sans risque de perte d'informations). C'est ce qui en fait un candidat de choix pour les applications critiques.

[grunk]

En utilisant les JSP les classes Java sont compilées donc pour comprendre la logique de l'application il faut nettement plus de temps. C'est un problème qu'on rencontre souvent quand on vends un produit web. Oracle quand à lui n'est pas radicalement plus sécurisé qu'un autre DBMS, mais il à la réputation d'être fiable et surtout de pouvoir manipuler de grands jeux de données de manière sécurisé (donc sans risque de perte d'informations). C'est ce qui en fait un candidat de choix pour les applications critiques.

J'ai jamais développé en JSP mais si ca se présente sous la même forme qu'une applet avec des .class l'argument de la sécurité ne tient pas. C'est d'une facilité déconcertante de décompiler un .class et d'obtenir le code en clair et correctement formaté.

Je lisais ce matin (je retrouve plus l'article >< ) qu' à la BNP il n'ont pas loins de 700 appli en php qui tourne. Ca va de l'intranet à l'appli très spécifique. Le tout couplé avec oracle ou mysql. Il précise cependant qu'il utilise toujours beaucoup JAVA.

[Benjamin Delespierre]

C'est vrai mais entre un code décompilé et un code en clair avec eventuellement ses commentaires, on voit lequel est le plus complexe à comprendre. Cela étant de toute façon on peut reverse engeener à peu près n'importe quoi donc...

Et c'est vrai aussi, c'est à la mode de passer des applis Java en PHP depuis quelques années: c'est moins cher à beaucoup de niveaux.