Share

Approfondir

Qualité Web le livre

Livre Qualité Web

Acheter

27 - Sensitive data is not transmitted unencrypted through URLs.

Objectif
  • Prevent sensitive data from being made public or stored Unencrypted at any stage in accessing a page (ISP, proxy, web Server, browser history, third-party services, etc.).
  • Allow users to enter sensitive data, safe in the knowledge that They will be protected and kept confidential.
Mise en œuvre

Envoyer les données de formulaire sensibles par la méthode POST.

Ne pas inscrire de données sensibles dans l'URL d'un lien.

Contrôle

Lors de manipulations dans le site telles que connexion à un compte, saisie de données personnelles, achat, etc., vérifier qu'aucune des données saisies n'apparaît en clair dans l'URL via les trois contrôles suivants :

  • Vérifier que l'identification n'aboutit pas à une page du typelogin.php?user=machin@password=123 ;
  • Contrôler aussi que les pages ne comportent pas de liens contenant ce type d'informations. Il est en effet possible de faire un lien du type http://user:pass@example.com/ ou ftp://user:pass@example.com/. Ceci est bien évidemment très fortement déconseillé et doit être banni.
  • Examiner également que l'identifiant de la session n'est pas transmis dans l'URL, ce qui donne des URL du type page.php?SESSIONID=123abc456def. Toute personne récupérant cet identifiant, y compris en lisant par dessus l'épaule de l'utilisateur, aurait accès à son compte.

Il est important de faire ces tests en activant et désactivant les cookies du navigateur, certains outils (frameworks, CMS) ayant la fâcheuse habitude de transmettre les informations en clair dans le second cas.

Découvrez la certification Opquast

Rejoignez la communauté des certifiés Opquast. Plus de 5000 professionnels formés à la qualité Web. Au programme une formation en ligne de 14h, un examen de 1h30, un badge et un score à mettre sur votre cv et votre profil linkedin.

Commander en ligne