Re: Tentatives possible réussies attaque serveur
Le 9 octobre 2015 16:24, Dominique Asselineau
<asseline@telecom-paristech.fr> a écrit :
> Un script peut tout à fait retourner une réponse HTTP autre que 200.
> C'est ce que je fais lorsqu'on demande une ressource qui n'existe pas
> ou qui n'est pas autorisée pour la requête.
Certes...mais il y a des cas où il vaut mieux retourner 200 tout le
temps. Après tout, index.php existe, l'URL est donc correcte, donc 404
n'est pas tout à fait une réponse adaptée. Quand un robot fait du
sondage en masse, lui retourner un code d'erreur sauf si ça tappe
juste peut l'aider à trouver.
Par exemple, renvoyer un 200 uniquement en cas de succès de login est
de nature à faciliter les attaques en force...
______________
Éric Dégenètais
Henix
http://www.henix.com
http://www.squashtest.org
Reply to: