Sécurité des applications AJAX : Unity Web SARL

Koker, Cem ; Hauri, Rolf (Dir.)

Mémoire de diplôme HES : Haute école de gestion de Genève, 2007 ; TDIG 13.

AJAX est un ensemble de technologies Internet déjà existantes depuis quelques années et remises au goût du jour il y a peu. Elles permettent de créer des flux de communication entre client et serveur de manière asynchrone. Grâce à AJAX, le client qui visite une page Internet qui utilise ces technologies n’a plus besoin d’attendre la réponse du serveur pour envoyer de nouvelles... Plus

Ajouter à la liste personnelle
    Résumé
    AJAX est un ensemble de technologies Internet déjà existantes depuis quelques années et remises au goût du jour il y a peu. Elles permettent de créer des flux de communication entre client et serveur de manière asynchrone. Grâce à AJAX, le client qui visite une page Internet qui utilise ces technologies n’a plus besoin d’attendre la réponse du serveur pour envoyer de nouvelles données. Ce changement est radical dans le monde des communications entre client et serveur Web car les échangent étaient jusque là synchrones. La re-découverte de cette technologie, ou ensemble de technologies, a suscité un énorme intérêt de la communauté Internet pour son utilisation. Des géants d’Internet tels que Google ou Yahoo en ont même fait leur cheval de guerre et en ont démocratisé l’utilisation que nous en faisons aujourd’hui. Ce travail de diplôme propose de faire un bilan des quelques mois qui ont suivi la re-découverte de ces technologies et leurs utilisations massive sur Internet. De sa découverte à son évolution future en observant les alternatives; il sera question de parler des avantages et des inconvénients que son utilisation apporte du point de vue de l’utilisateur aussi bien que celui du concepteur de logiciel Web. La sécurité sera un point majeur de ce travail car elle constitue aujourd’hui un des enjeux majeurs de l’utilisation d’AJAX. Son adoption parfois hâtive et non réfléchie pour suivre l’effet de mode n’a pas été sans conséquences, elles seront décrites dans ce travail qui en dressera une liste non exhaustive quant aux problèmes qui peuvent se poser. Ils seront illustrés par des exemples frappants qui ont fait trembler plusieurs grands acteurs d’Internet. Ces derniers serviront d’introduction à une étude plus détaillée des différentes failles de sécurité qu’AJAX aura pu créer et d’en expliquer les tenants et les aboutissants en expliquant quelles sont les faiblesses de leurs implantations tout en décrivant leurs schémas d’attaques. Suivra une réflexion sur les moyens à mettre en oeuvre afin de se prémunir contre l’exploitation de ces failles en expliquant concrètement comment bien implanter son utilisation. Enfin, dans le but d’aider le concepteur, nous réfléchirons à la possibilité d’automatiser la recherche de failles de sécurité dans la conception d’applications AJAX en définissant quelques lignes directrices à respecter lors de son implantation. Le but est de mettre en avant les problèmes liés à la sécurité tels que des failles que le code pourrait comporter et qui seraient facile à détecter. Il serait aussi possible de réfléchir à la création d’une extension au navigateur Internet destiné à montrer à l’utilisateur les diverses interactions qui se déroulent à son insu.