Bon, puisque
@Jackpilot a peur que ça parte à la foire d'empoigne, je vais quand même faire un peu de pédagogie.
Ben non, il n'y a absolument rien de tel dans ce cas ou alors c'est très très mal fait. Tant que l'application cliente ne demande rien au serveur celui-ci ne fait rien et il n'y a rien qui passe dans les tuyaux.
Pas envie de faire un cour magistral, tu fais la leçon de pilotage à des pilote de ligne, tu feras sûrement une leçon d'informatique à des informaticiens, je présume que tu maîtrise les notions de cache SQL, de socket, de TTL, de couche TCP, de reverse proxy, et bien d'autre... Juste, retiens, si possible, que c'est faux.
La sécurité ? Elle a bon dos, il n'y a pas d'infos sensibles sur ce site
Là quand même j'ai envie d'y revenir parce que sur internet, la sécurité, c'est quand même l'affaire de tous.
Un site comme Mach7, qui n'est certes pas un site de banque, demande une inscription. On y inscrit donc une adresse mail, et un mot de passe. Le site enregistre également à minima l'adresse IP des utilisateurs. Pour peu qu'il soit mal fichu, il enregistre aussi des numéros de carte bleu, même si c'est quand même plus le cas partout, ça se retrouve encore souvent. Et là c'est cadeau.
Bien. Maintenant, imaginons que je suis un vilain pirate et que je récupère l'accès à toutes les données du site, sa base de donnée, etc etc... Les mots de passe ne sont certes pas stockés en clair, mais rien d'infaisable pour 99% des hackers.
J'ai donc ton adresse mail, et ton mot de passe. J'ai 2 chances sur 3 que tu ai utilisé le même tandem login/mot de passe que sur facebook, amazon, leboncoin, apple, gmail, et bien d'autres... J'ai 2 chances sur 3 (au doigt mouillé mais je pense que je suis proche du réel) pour que l'authentification à 2 facteurs ne soit pas activée et que je puisse donc m'y connecter en toute tranquilité, y faire ce que je veux (changer le mot de passe amazon, l'adresse postale, et commander des choses tant qu'il ne redemande pas de confirmer les infos bancaires, c'est à dire souvent). J'ai surtout bien assez d'info pour une usurpation d'identité en bonne et due forme (c'est l'enfer)
J'ai également ton IP, sauf si tu es derrière un VPN. Je peux donc faire de sales choses avec ça. Je peux aussi modifier les pages web de mach7, auxquelles tu fais confiance, pour y glisser du code malveillant. Je vais rapidement disposer d'un accès à ton ordinateur, soit pour te voler tes infos, ce qui est peu probable car c'est trop long pour une rentabilité limitée, mais plutôt pour l'insérer dans un réseau d'ordinateurs zombies que j'utilise pour faire des attaques sur d'autres structures plus alléchantes comme, par hasard, un hôpital que je voudrais faire chanter pour avoir une rançon.
Alors peut être au final pas TOI, car tu as peut-être une bonne hygiène sécuritaire virtuelle, mais pour les 2/3 des utilisateurs du site que j'aurais piraté car mal sécurisé, ce n'est pas le cas.
Les petits sites qui se sécurisent mal recèlent presque d'aussi grandes menaces que les services majeurs, c'est pour ça que la sécurité sur le net, c'est l'affaire de tous
mais finalement non je dirai que ça vaut la note parce que aussi gratos. De plus quand on sait ce que tu viens de soulever concernant la déclinaison magnétique il n'y a qu'a en tenir compte et ça roule, ou plutôt ça vole.
. Maman ils m'ont piqué mon zavion et ils l'ont repeint en rouge (le mien était vert et or)
