Security for developers/fr



En tant que développeur MediaWiki, vous avez la responsabilité d'écrire du code sécurisé dans un style facile à relire et à modifier. Cet article traite des problèmes relatifs à la sécurité et des meilleures manières utilisées par les développeurs MediaWiki pour résoudre ces problèmes de sécurité. Pour les problèmes concernant la manière de coder, lire les conventions de codage de MédiaWiki.

Chaque développeur MediaWiki doit lire soigneusement cet article quelque soit son niveau d'expérience dans le développement des applications web et de PHP, et se refamiliariser périodiquement avec ce contenu. De plus, chauqe développeur doit lire soigneusement les articles à propos du Cross-site scripting (XSS), du Cross-site request forgery (CSRF), et, qui fournissent chacun des explications plus détaillées sur ces types communs de failles. Le fournit une référence utile pour les tâches communes de développement.

Importance de la sécurité
La sécurité des applications web est un problème critique dans le monde cablé. Les sites web avec des failles de sécurité sont une partie clé de l'infrastructure globale illicite du vandalisme, pourriel et phishing. Les dresseurs de robots parcourent le web à la recherche de sites web présentant des failles de sécurité, puis utilisent ces vulnérabilités pour les détourner. Le site web qui a été attaqué va distribuer des malware (c'est à dire des virus) aux visiteurs, soit en utilisant les failles de leur navigateur ou d'une manière générale par ingénierie sociale. Le logiciel malveillant téléchargé transforme l'ordinateur du client en un « zombie » qui fait partie d'un réseau mondial de crime organisé visant à voler les coordonnées bancaires, à envoyer du spam et à extorquer de l'argent à des sites web présentant des menaces de déni de service.

Sécurité démontrable
Ce n'est pas suffisant de vérifier que vous êtes parfait et que votre code ne présente pas de failles de sécurité. Chacun fait des erreurs. Tout le code de base, et une bonne partie du code des extensions, est examiné par des développeurs expérimentés pour vérifier sa sécurité. Ceci est une bonne méthode et doit être encouragé.

Ecrivez du code de sorte à pouvoir montrer qu'il est fiable du point de vue sécurité, de sorte à ce qu'un relecteur puisse affirmer qu'il est sécurisé. N'écrivez pas de code qui semble non fiable à première vue et qui après relecture se révèlerait fiable. Un tel code affole inutilement les relecteurs.

Apperçu des failles de sécurité et des attaques
Ce document cible particulièrement les attaques suivantes et les risques de sécurité. Tout développeur MediaWiki devrait être familier avec ces problèmes et avoir au moins déjà compris de quoi ils relèvent.

Voir aussi

 *  - liste de points concernant les tâches communes de développement avec les mesures de sécurité nécessaires correspondantes
 *  – courtes informations sur la manière de rapporter les problèmes de sécurité
 *  – informations sur la manière de renforcer votre installation MediaWiki
 * Open Web Application Security Project (OWASP)
 *  – a static analysis tool specifically for MediaWiki that checks your extension for common security flaws. Run as part of.
 * Open Web Application Security Project (OWASP)
 *  – a static analysis tool specifically for MediaWiki that checks your extension for common security flaws. Run as part of.
 * Open Web Application Security Project (OWASP)
 *  – a static analysis tool specifically for MediaWiki that checks your extension for common security flaws. Run as part of.

Livres

 * Tobias Wassermann: "Sichere Webanwendungen mit PHP". ISBN 9783826617546 about Web applications secured with PHP