Développeur Web avant tout…
Sécurité
MAJ – Créer dynamiquement un bouton Paypal sécurisé
30/08/11
Il existe une multitude de possibilités pour faire un bouton de paiement Paypal, la plus courante est de créer le bouton dans l’interface de celui-ci et de copier coller le code qu’il vous donne au final sur votre page. Le défaut de cette méthode c’est que l’on doit créer un bouton pour chaque objet que l’on vend, la flexibilité n’est donc pas au rendez vous avec cette méthode. La deuxième méthode utilisée est la possibilité de créer un formulaire avec les paramètres définis sur cette page. Avec cette méthode la flexibilité est présente mais pas la sécurité. En effet il est alors facile de modifier le prix du panier dans le formulaire avec l’extension Firebug de Firefox et ainsi falsifier le prix à payer… Si la cohérence des informations n’est pas vérifiée lors du feedback de Paypal (IPN) c’est un réel problème !
Je vais donc vous présenter la méthode permettant de générer le bouton Paypal avec un cryptage SSL des données du formulaire vous garantissant un paiement sécurisé de bout en bout… Attention tout de même cette méthode n’est pas à la portée de tout le monde car il y a certaines contraintes techniques.
Formulaire d’upload et la sécurité
16/03/10
Permettre à vos visiteurs d’envoyer des fichiers sur votre serveur est une opération beaucoup plus délicate qu’il n’y parait si le processus n’est pas totalement maitrisé. « Anéfé », c’est sans doute le point d’entrée préféré et privilégié des pirates, puisqu’il peut éventuellement permettre d’envoyer des scripts sur votre serveur et les exécuter, lui permettant éventuellement de glaner des informations comme vos accès à votre base de données. Cette attaque, par envoi de fichier via un formulaire, est sans doute l’une des plus dangereuse car elle donne une très grande liberté pour l’attaquant.
Je vais donc vous montrer, par un exemple concret, les choses à faire lorsque vous devez gérer un envoi de fichiers, mais surtout… les choses à ne pas faire !
