sebsauvage
33667Messages postés
29 août 2001Date d'inscription
ModérateurStatut
16 janvier 2012Dernière intervention
8 sept. 2004 à 13:46
SSL ne permet pas de protéger un serveur web.
SSL ne permet que de protéger les échanges entre le client et le serveur.
La sécurisation du serveur web dépend de plusieurs choses:
- l'assurance qu'il n'y a pas de bug dans ton application web (les droits sont-ils bien vérifiés dans chaque page, pour l'accès de chaque fonctionnalité ? Les droits sont-ils aussi vérifiés dans les traitement de formulaire (POST/GET) ? Est-ce que les paramètres des formulaires sont vérifié (présence, taille, type, valeurs) ? Est-ce que le site est protégé contre le cross-site scripting, le SQL-injection, et les autres attaques ?)
- la sécurisation du serveur web lui-même (voir la configuration du serveur web)
- la sécurisation du système d'exploitation sur lequel est situé le serveur web.
- la sécurisation du réseau (le serveur web doit être séparé du réseau de l'entreprise, la base de données doit être sur un serveur séparé du serveur web et non atteignable de l'extérieur, etc.)
Il existe des guides de sécurisation pour les OS (Windows, Linux, etc.) qu'on peut télécharger gratuitement sur le web.
Même chose pour les serveurs web (guides de sécurisation Apache, IIS...)
Pour ton appli, c'est à toi de faire attention.
En plus de tout cela, mettre en place SSL est une excellente idée. (Cela permet d'éviter le vol de mots de passe ou de cookies de sessions).
