Discussion :

[shefla52]

Bonjour,

Je souhaiterais savoir s'il existe un moyen ou des outils permettant de vérifier l'intégrité d'une page web. Le but étant de s'assurer que le code source n'a pas été modifié entre le serveur et le client afin de prévenir des problèmes tels que l'injection de code JS ou le routage via un serveur proxy malicieux.

Le but final étant de s'assurer que si je développe une page d'authentification personne ne pourra voler les identifiants y compris l'hébergeur s'il est mal intentionné.

Malgré diverse recherches de mon côté je n'ai pas trouvé grand chose.

https://jscrambler.com/webpage-integrity
http://mapwoc.org/

Je suis à la recherche d'une solution open-source.

En espérant que vous pourrez m'aider.
Merci d'avance

[psychadelic]

pour si peu, pas besoin d'outil spécifique, juste récupérer tes fichiers par FTP, puis lancer un diff -r /../dossier1 /../dossier

[shefla52]

Bonjour psychadelic,

Merci pour votre réponse.

Je pense que nous ne nous sommes pas compris. Je pensais plus à un moyen automatique de vérifier les pages à chaque fois que le serveur web les sert à l'utilisateur.

Pour faire court, une solution pourrait être:
- le visiteur charge une page
- un hash se calcule automatiquement à la fin
- ce hash est comparé avec un hash de référence
Cette vérification étant lancée pour chaque page HTML, chaque JS, chaque fichier sensible pouvant contenir du code exécutable.
La difficulté étant de détecter toute modification du hash par un code malicieux ou un hacker ou tout autre moyen (dans la page chargée ou sur le hash du serveur de référence).

Merci
Bonne journée

[ABCIWEB]

Bah, si tes fichiers sont piratés sur le serveur, c'est que le pirate a accès au serveur et il pourra tout aussi bien modifier tes mesures de sécurité. La sécurité serveur c'est le job des administrateurs serveur, pas des développeurs.

Ensuite pour garantir la transmission des données on utilise ssl (https).

Après il existe des mesures de sécurité complémentaires comme des token (hash) pour s'assurer qu'un formulaire a bien été envoyé depuis une page web mais c'est dans l'autre sens, client vers serveur.

[thelvin]

Reste que l'hébergeur du coup. Logiquement, plutôt que faire de la collecte illégale de login/password (pass'que bon, condamnation pénale, plus aucun client qui paye, tout ça), il injecterait plutôt des pubs. Pubs qui, elles, pourraient bien collecter des login/passwords. Et quand on injecte des pubs ça se voit, c'est un peu le but. Du coup ça aurait plus de sens de changer d'hébergeur.

Mais bon, on peut jamais être certain je suppose. Jamais entendu parler d'une solution clé en mains pour vérifier ça, en tout cas.

[shefla52]

Je pense avoir trouvé ce que je cherchais.
https://stosb.com/blog/signed-web-pages/
https://github.com/tasn/webext-signe...ster/README.md