[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Tentatives possible réussies attaque serveur

Eric Degenetais wrote on Fri, Oct 09, 2015 at 04:46:54PM +0200
> Le 9 octobre 2015 16:24, Dominique Asselineau
> <asseline@telecom-paristech.fr> a écrit :
> > Un script peut tout à fait retourner une réponse HTTP autre que 200.
> > C'est ce que je fais lorsqu'on demande une ressource qui n'existe pas
> > ou qui n'est pas autorisée pour la requête.
> 
> Certes...mais il y a des cas où il vaut mieux retourner 200 tout le
> temps. Après tout, index.php existe, l'URL est donc correcte, donc 404
> n'est pas tout à fait une réponse adaptée. 

Si l'opération est de faire du téléchargement, la pertinence n'est pas
le script mais la ressource demandée.  Du coup, ça n'est pas du tout
absurde de répondre relativement à la ressource.

> Quand un robot fait du
> sondage en masse, lui retourner un code d'erreur sauf si ça tappe
> juste peut l'aider à trouver.
> Par exemple, renvoyer un 200 uniquement en cas de succès de login est
> de nature à faciliter les attaques en force...

Ah oui, enfin on parse la page et ça revient à peu près au même.
C'est comme souvent : tout dépend de l'enjeu.  Perso, je n'aime pas
que les mots de passe soient demandés au niveau des scripts, je
préfère que ce soit le serveur qui s'en charge.  Ça paraît plus
prudent.

dom

--
Reply to: