Picto thématique

Règle n° 27 - Les données sensibles ne sont pas transmises en clair dans les URL.

Des données personnelles peuvent être transmises et interceptées par l’intermédiaire des URL. Des adresses du type http//domaine.com/index.html?motpasse=lapin sont à proscrire. Elles sont en effet faciles à repérer sur Internet ou dans les statistiques d’audience.

#Données personnelles #Développement

Objectif

  • Éviter que des données sensibles ne soient publiques et stockées en clair aux différentes étapes de l'accès à la page (FAI, proxy, serveur Web, historique du navigateur, services tiers…).
  • Permettre à l'utilisateur de saisir des données sensibles en sachant qu'elles seront protégées et confidentielles.
  • Renforcer la confiance des utilisateurs sur l’utilisation de leurs données

Mise en œuvre

Envoyer les données de formulaire sensibles par la méthode POST.

Ne pas inscrire de données sensibles dans l'URL d'un lien.

Contrôle

Lors de manipulations dans le site telles que connexion à un compte, saisie de données personnelles, achat, etc., vérifier qu'aucune des données saisies n'apparaît en clair dans l'URL via les trois contrôles suivants :

  • Vérifier que l'identification n'aboutit pas à une page du typelogin.php?user=machin@password=123 ;
  • Contrôler aussi que les pages ne comportent pas de liens contenant ce type d'informations. Il est en effet possible de faire un lien du type http://user:pass@example.com/ ou ftp://user:pass@example.com/. Ceci est bien évidemment très fortement déconseillé et doit être banni.
  • Examiner également que l'identifiant de la session n'est pas transmis dans l'URL, ce qui donne des URL du type page.php?SESSIONID=123abc456def. Toute personne récupérant cet identifiant, y compris en lisant par-dessus l'épaule de l'utilisateur, aurait accès à son compte.

Il est important de faire ces tests en activant et désactivant les cookies du navigateur, certains outils (frameworks, CMS) ayant la fâcheuse habitude de transmettre les informations en clair dans le second cas.

Auteur Opquast - Consulter la licence


Les règles Opquast vous sont utiles ? Passez la certification

  • Une formation et une certification 100% en ligne, reconnues officiellement
  • Une formation en ligne de 14 heures en autonomie, disponible 24h/24, 7j/7
  • Formation autonome avec un guide de 200 pages, des quiz, un glossaire, des examens blancs, des articles des videos
  • Pour tous les professionnels du Web : marketing, commerciaux, chefs de projet, designers, développeurs, ingénieurs informatiques.
  • Une approche multidisciplinaire : SEO, accessibilité, écoconception… pour tous les professionnels, débutants comme confirmés.
  • Un contenu reposant sur des règles vérifiables et un vocabulaire adopté par une large communauté de professionnels
  • Des principes de conception centrés sur la diversité des utilisateurs

Pourquoi s’inscrire ?

  • Améliorer votre profil professionnel et la reconnaissance de vos pairs
  • Consultez les offres d’emploi mentionnant Opquast et trouvez plus facilement un job
  • Ajouter de nouvelles compétences à votre profil professionnel
  • Améliorez votre culture web et celle de vos équipes
  • Prenez mieux en compte la diversité des utilisateurs
  • Réduisez les risques et améliorez la qualité de l’expérience utilisateur
  • Diminuez les coûts et améliorez la qualité de vos sites web
  • Dotez-vous d’une culture transversale et faites progresser vos équipes
  • Rejoignez la communauté Opquast et ses 13.000 certifiés
Logo Mon compte Formation

La certification Opquast est inscrite au Répertoire National des Certifications Professionnelles (RNCP) – Répertoire spécifique.