Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Ce n'est pas une règle, c'est un besoin. Soit tu as besoin de services tiers, soit tu n'en as pas besoin. Et si tu en as besoin, que tu les appelles depuis le serveur ou depuis le client, cela ne change rien aux précautions de sécurité à prévoir. Tu as besoin d'une nouvelle porte, tu embauches un nouveau garde. C'est aussi simple que ça.
encore une fois ce n'est pas sur la liaisons avec des tiers ou quoi que ce soit en tant que besoin que pour moi il est nécessaire de définir ce genre de règles.
il y a dans la boîte des centaines de développeurs. lorsqu'on en embauche un nouveau. on ne le laisse pas dans la nature à faire ce qu'il veux.
indépendament de tout cahier des charche de tout travail à réaliser, on lui donne un ensemble de règle à suivre pour que sont travail en adequation avec celui de ces colègues, pour que la qualité de sont travail ait le niveau souhaité par la boite, mais aussi pour lui faciliter la vie.
il y a dans toutes ces règles des choses qui font bondir. car on ce dit si je ne peux pas faire ça quand je serait confronté à ... comment je vais faire. et là déjà la règle fait preuve de son efficacité. elle oblige le développeur à réflechir.
cette règle n'a pas d'autre but. tu entre dans la boit tu suis cette règle et tu n'as pas à te poser trop de question.
un beau jours une demande d'un client arrive et là te ne vois pas d'autre solution que de contourner la règle. du coup vu que tu contourne une règle tu sais que tu n'es plus dans le scope habituel et qui faut y aller avec prudence. tu sais que ce que tu fais habituellement n'est peut être pas suffisent pour la robustesse, l'efficacité, la sécurité ... et c'est la nature de la règle que tu cherche à contourner qui t'indique sur quel dommaine il te faut être vigilent.
même si je travaille dans un domaine ou les échelles sont grandes (100 000 à 200 000 personnes) je pense que s'appliquer à soit, ce genre de règles permets d'avoir des garde fou et de se facilité la vie.
A+JYT
Tu utilises beaucoup d'exemples et d'analogies, mais elles me semblent toutes hors-sujet.
Ce que je constate, c'est que j'ai dû faire du AJAX cross-domain dans trois de mes projets professionnels. Aujourd'hui, je bosse sur une web-app hybride avec Apache Cordova, qui tourne donc sur localhost et doit de fait faire du CORS pour appeler nos services externes. Je ne peux pas faire autrement, c'est un besoin. Même si je m'imposais une règle de toujours passer par un seul serveur sous mon contrôle, ce ne serait pas à moi d'en décider. De plus, centraliser les appels de services tiers sur mon serveur entraînera plus de latence (ce qui est critique quand il s'agit de web mobile) et plus de consommation de ressources serveur de mon côté. On y gagne beaucoup à faire ces appels côté client, et c'est entièrement sécurisé (pas d'évaluation de code externe, juste des échanges data sérialisés). Je fais ça depuis trois ans et je suis loin d'être le seul dans ma boîte (qui pour info est le leader français du paiement en ligne, donc on est pas les plus mauvais question sécurité).
Donc contrairement à ce que tu t'entêtes à penser, on peut parfaitement sécuriser de l'AJAX cross-domain et ça nous facilite la vie. Après, si tu veux rester sur tes principes de précaution et refuser d'aller en avant, c'est ton choix, mais ne va pas faire de la désinformation et faire peur aux gens avec des histoires de crackers/hackers... Je pense avoir tout dit, à chacun d'en tirer ses conclusions
je crois que je vais abandonner
Je n'ai jamais dit qu'il ne fallait pas le faire.
Je ne dis pas qu'on ne peut pas le sécuriser.
Je ne dis pas que ce n'est pas un besoin.
Je ne parle pas de technologie
Je ne parle pas d'AJAX.
Je parle d'organiser le travail.
Je parle de mettre en place des moyens pour que le développeur reste conscient
Je parle de moyen pour alerter le développeur sur ce qu'il fait
Cette règle est exactement du même acabit que
"Il faut indenter son code"
"Il faut documenter son code"
"Il faut veiller à tester toutes les fonctions"
etc.
Tout ça n'a rien à voir avec la techno
Ce sont des règles de travail pour le développeur, pas pour ce qu'il développe.
Avoir de telles règles aide à travailler.
Tu dis que ma règle t'a fait bondir
Je te réponds que tu l'interprètes mal. Elle ne dit pas que techniquement tu ne peux pas le faire, elle ne dit pas que techniquement tu ne dois pas le faire. Elle dit : abstiens-toi, autant que possible, de le faire. et elle le dit de façon impérative non pas pour t'empêcher de le faire, mais simplement pour que tu te dises "mince, cette fois je ne peux pas appliquer cette règle, il faut que je fasse gaffe à ce que je fais"
je dis amis développeur applique cette règle Règle N° 2 les connexions AJAX se font TOUJOURS vers le site de la page et tu ne seras pas embêté par les problèmes de sécurité cross domain
Si un jour tu devais l'enfreindre cette règle alors pose toi toutes les questions concernant la sécurité du poste de ton client.
A+
C'est sûr que si l'on entreprend rien, on évite les problèmes. Cela demande un peu plus de travail donc ne le fais pas sauf si on t'y oblige. En voilà un bon conseil pour les développeurs...
Envoyé par sekaijin
je me suis remis au Javascript récemment, venant d'un background plutot entreprise. Je trouve qu'il y a beaucoup d'a priori au sujet du langage. Les Frameworks ont évolué (il ne faut pas s'arreter a JQuery) et les applications mono pages offrent une alternative a des méthodes serveurs inutiles.
Je pense qu'au pire tu peux:
- minifier avec YUI compressor ou Uglify
- obfuscation (des chaînes de caratères)
il me semble qu'une console Chrome / Firebug affichera tout de même tes connections GET, POST
edit: en ce moment j'utilise une librairie qui demande du "reflection". Si tu minifie ton code, la librairie ne pourra pas reconnaitre certains objets
je l'ai dis ce n'est pas impossible tu peux trouver des moyen de masquer des chose
http://www.developpez.net/forums/d13...e/#post7355854
Mais comme dans ce post faire ça sera considéré à juste titre comme une volonté de piratage.
ou encore tu peux faire ça
http://www.developpez.net/forums/d13...ighlight=trois
mais là encore un resp de sécurité qui voit ça va penser que c'est une tentative de piratage
A+JYT
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager