Page 1 sur 1
header http pour les contrôler tous (article)
Posté : 24 mars 2014, 19:14
par niuxe
Salut tout le monde,
Je viens de lire un petit article sur korben (
Un header HTTP pour les contrôler tous) et j'avoue ne pas avoir compris le contenu et le sens. Si un âme charitable à l'amabilité de m'expliquer de quoi il en retourne, ce serait super sympa. Ainsi, je m'endormirai moins bête.
bon dev à tous
Re: header http pour les contrôler tous (article)
Posté : 24 mars 2014, 22:09
par xTG
En gros cet article montre qu'il ne faut pas croire sur parole les entêtes HTTP d'une requête.
Si on autorise l'accès d'une zone d'administration en fonction d'une IP elle est en fait falsifiable.
$_SERVER['REMOTE_ADDR'] par exemple est extraite des headers HTTP, et donc entièrement falsifiable par n'importe quel visiteur.
Re: header http pour les contrôler tous (article)
Posté : 25 mars 2014, 00:49
par niuxe
Ah oui je comprends mieux. C'est normal d'ailleurs puisqu'il ne faut jamais faire confiance à l'utilisateur. Cette faille est en fait un trou béant (j'imagine avec un 777 ...).
Merci pour ta lumière sur le sujet. J'ai compris deux choses dont une qui n'est pas évidente. D'un point de vue dev, se rappeler que les en têtes ne sont pas du tout sécurisées (c'est normal d'ailleurs). Ça veut dire aussi qu'un Iptable mal configuré peut engendrer ce genre de bêtises si j'ai bien saisi.
Bon dev et au plaisir de te lire.