samedi 6 octobre 2007

De la sécurité du système bancaire

Note à destination des GIE qui viendront lire ce blog : ce titre est une simple référence historique :)

Je sais que c'est un sujet de plaisanterie récurrent parmi mes fréquentations, mais hélas j'ai acquis une réputation d'expert Web 2.0.

Et connaissant les dangers du Web 2.0, je ne surfe qu'avec FireFox et son extension de filtrage NoScript (qui est quand même beaucoup plus conviviale que la désactivation complète du JavaScript dans le navigateur !).

Et là, c'est le drame. Non seulement le site de ma banque en ligne (je préfère ne pas vous dire laquelle, mais c'est la verte ;) ne fonctionne pas sans JavaScript, utilise massivement des applets Flash, mais en plus fait appel à ... Google Analytics.

Je ne leur jete pas la pierre (non non, je ne suis pas en train de dire du mal des banques :), car à l'usage on se rend compte qu'un nombre incroyable de sites utilisent cette technologie.

Malgré un sursaut d'honneur, nous avions déjà abandonné une bonne partie de notre souveraineté numérique à Google, Inc. Désormais c'est la sécurité du monde libre qui est entre les mains de leur RSSI ...

10 commentaires:

Tyop? a dit…

Newsoft: "mais hélas j'ai acquis une réputation d'expert Web 2.0."

Et bientot ta reputation se propagera en Bretagne !

Cédric Pernet a dit…

@tyop: je crois qu'elle y est déjà :-p

@newsoft: ah tiens, merci pour NoScript, je ne connaissais pas ... Je me servais d'un autre plugin mais qui n'était pas aussi configurable.

jme a dit…

Expert "Web 2.0" c'est mieux ou moins bien que expert XSS ?

Tyop? a dit…

@jme: Ca rend beaucoup plus classe. Quand l'un parle de perimetre, l'autre parle de cookies.
Apres dans la technique je pense que c'est la meme chose.

ane au nime a dit…

ca se voit que vous ne l'avez pas lu
http://www.amazon.fr/XSS-Attacks-Scripting-Exploits-Defense/dp/1597491543

newsoft a dit…

Et si j'ai commencé à le lire !

Mais je pense qu'il faut attendre une plus forte intégration du Web sur le bureau (ex. Adobe AIR, widgets Vista) pour commencer à voir apparaitre des attaques massives et dangereuses côté client.

Tyop? a dit…

@ane au nime: La vision de ces problemes a effectivement change (comprendre "au dela du vol de cookies"), mais ca reste tout de meme un type de faille qui 90% du temps ou elle est evoquee n'amene a rien de tres pertinent.

Donc "Expert XSS" c'est assez pejoratif AMHA.
Maintenant non, je ne l'ai pas lu, ce qui ne m'empeche pas d'etre conscient de la menace.

jme a dit…

Gaffe à ne pas te faire piquer le titre d'expert Web 3.0...

Tyop? a dit…

C'est une attaque personnelle ? (^-^)

"Salut je suis expert Web3.0, les virus MMS et les bugs Second Life ca me connait."

jme a dit…

@Tyop : loin de moi cette idée, c'est juste que le Web 3.0 est un sujet très hype en ce moment.