Partager

Approfondir

Qualité Web le livre

Livre Qualité Web

Acheter

192 - Les données sensibles ne sont pas transmises en clair dans les url.

Thématique
Phase Projet

Objectif
  • Éviter que des données sensibles ne soient publiques et stockées en clair aux différentes étapes de l'accès à la page (FAI, proxy, serveur Web, historique du navigateur, services tiers…).
  • Permettre à l'utilisateur de saisir des données sensibles en sachant qu'elles seront protégées et confidentielles.
Mise en œuvre

Envoyer les données de formulaire sensibles par la méthode POST.

Ne pas inscrire de données sensibles dans l'URL d'un lien.

Contrôle

Lors de manipulations dans le site telles que connexion à un compte, saisie de données personnelles, achat, etc., vérifier qu'aucune des données saisies n'apparaît en clair dans l'URL via les trois contrôles suivants :

  • Vérifier que l'identification n'aboutit pas à une page du typelogin.php?user=machin@password=123 ;
  • Contrôler aussi que les pages ne comportent pas de liens contenant ce type d'informations. Il est en effet possible de faire un lien du type http://user:pass@example.com/ ou ftp://user:pass@example.com/. Ceci est bien évidemment très fortement déconseillé et doit être banni.
  • Examiner également que l'identifiant de la session n'est pas transmis dans l'URL, ce qui donne des URL du type page.php?SESSIONID=123abc456def. Toute personne récupérant cet identifiant, y compris en lisant par dessus l'épaule de l'utilisateur, aurait accès à son compte.

Il est important de faire ces tests en activant et désactivant les cookies du navigateur, certains outils (frameworks, CMS) ayant la fâcheuse habitude de transmettre les informations en clair dans le second cas.

Découvrez la certification Opquast

Rejoignez la communauté des certifiés Opquast. Plus de 5000 professionnels formés à la qualité Web. Au programme une formation en ligne de 14h, un examen de 1h30, un badge et un score à mettre sur votre cv et votre profil linkedin.

Commander en ligne