Security for developers/fr



En temps que développeur MediaWiki, vous avez la responsabilité d'écrire du code sécurisé dans un style facile à relire et à modifier. This article focuses on the issues related to security and on the best practices used by MediaWiki developers to address these security issues. Pour les problèmes concernant la manière de coder, lire les conventions de codage de MédiaWiki.

Every MediaWiki developer should carefully read this article, regardless of their level of experience in web application development and with PHP, and periodically re-familiarize themselves with this material. Additionally, every developer should carefully read the articles on Cross-site scripting (XSS), Cross-site request forgery (CSRF), and, which each provide more detailed explanations of each of these common vulnerability types. Le fournit une référence utile pour les tâches communes de développement.

Importance de la sécurité
La sécurité des applications web est un problème critique dans le monde cablé. Websites with security vulnerabilities are a key part of the illicit global infrastructure of malware, spam and phishing. Bot herders crawl the web looking for websites with security vulnerabilities, and then use the vulnerabilities to hijack them. The hijacked website will distribute malware (viruses) to visitors, either via browser vulnerabilities or overtly by social engineering. The downloaded malware turns the client's computer into a "zombie" that is part of a global network of organized crime aimed at stealing bank account details, sending spam, and extorting money from websites with denial-of-service threats.

Sécurité démontrable
Ce n'est pas suffisant de vérifier que vous êtes parfait et que votre code ne présente pas de failles de sécurité. Chacun fait des erreurs. All core code, and a good deal of extension code, is reviewed by experienced developers to verify its security. Ceci est une bonne méthode et doit être encouragé.

Ecrivez du code de sorte à pouvoir montrer qu'il est fiable du point de vue sécurité, de sorte à ce qu'un relecteur puisse affirmer qu'il est sécurisé. N'écrivez pas de code qui semble non fiable à première vue et qui après relecture se révèlerait fiable. Un tel code affole inutilement les relecteurs.

Apperçu des failles de sécurité et des attaques
Ce document cible particulièrement les attaques suivantes et les risques de sécurité. Tout développeur MediaWiki devrait être familier avec ces problèmes et avoir au moins déjà compris de quoi ils relèvent.

Voir aussi

 *  - a checklist of common development tasks, and the security measures necessary for those tasks
 *  – brief info on reporting security issues
 *  – information on hardening your MediaWiki install
 * Open Web Application Security Project (OWASP)
 *  – a static analysis tool specifically for MediaWiki that checks your extension for common security flaws. Run as part of.
 * Open Web Application Security Project (OWASP)
 *  – a static analysis tool specifically for MediaWiki that checks your extension for common security flaws. Run as part of.
 * Open Web Application Security Project (OWASP)
 *  – a static analysis tool specifically for MediaWiki that checks your extension for common security flaws. Run as part of.

Livres

 * Tobias Wassermann: "Sichere Webanwendungen mit PHP". ISBN 9783826617546