Ce consortium tente de faire prendre conscience qu’il est regrettable que tant de projets de développement logiciel réduisent la sécurité à une simple exigence à satisfaire. Est-ce que c’est sécurisé? Cette question est aussi subjective que de demander si quelque chose est super.
Selon les auteurs,
- La sécurité doit être en équilibre avec les dépenses. Il est facile et relativement peu cher de fournir un niveau de sécurité suffisant pour la plupart des applications. Cependant, si vos besoins en sécurité sont très exigeants, parce que vous protégez des informations de grande valeur, alors vous devez atteindre un niveau de sécurité plus élevé, à un coût supérieur. Cette dépense doit être inclue dans le budget du projet.
- La sécurité doit être en équilibre avec l’utilisabilité. Il n’est pas rare que les étapes prises pour améliorer la sécurité d’une application web diminue également son utilisabilité. Les mots de passe, timeouts de sessions et contrôles d’accès créent autant d’obstacles aux utilisateurs légitimes. Parfois, ceux-ci sont nécessaires pour fournir un niveau adéquat de sécurité, mais il n’existe pas de solution qui convienne à toutes les applications. Il est sage de penser à vos utilisateurs légitimes lorsque vous implémentez des mesures de sécurité.
- La sécurité doit faire partie de la conception. Si vous concevez votre application sans penser à la sécurité, vous êtes condamnés à constamment faire face à de nouvelles vulnérabilités de sécurité. Une programmation prudente ne peut compenser une mauvaise conception.
Ensuite, de longues explications devraient vous sensibiliser à la sécurité de vos code PHP. La table des matières est assez conséquente : Etapes de base, Register Globals, Filtrage des données, Signalement des erreurs, Falsification des soumission de formulaire, Requêtes HTTP falsifiées, Cross-Site Scripting, Cross-Site Request Forgeries, Autorisations d’accès exposées (BDD), Injection de code SQL, Fixation de session, Détournement de session, Données de session exposées, Naviguer dans le système de fichiers.
Enfin, la très bonne nouvelle, une traduction en français est maintenue par Christophe Chisogne.
Site Internet : PHP Security Consortium (PHPSC)
Licence : BSD