{"id":6470,"date":"2013-09-09T05:06:19","date_gmt":"2013-09-09T05:06:19","guid":{"rendered":"https:\/\/dev.railscarma.com\/12-security-checks-to-be-performed-before-releasing-a-rails-app\/"},"modified":"2021-06-07T07:54:15","modified_gmt":"2021-06-07T07:54:15","slug":"12-controles-de-securite-a-effectuer-avant-de-publier-une-application-rails","status":"publish","type":"post","link":"https:\/\/www.railscarma.com\/fr\/blog\/nouvelles\/12-controles-de-securite-a-effectuer-avant-de-publier-une-application-rails\/","title":{"rendered":"12 contr\u00f4les de s\u00e9curit\u00e9 \u00e0 effectuer avant de publier une RailsApp"},"content":{"rendered":"
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Lorsque vous t\u00e9l\u00e9chargez votre derni\u00e8re application sur un serveur Web de production et que vous l'ouvrez au monde, vous jetez r\u00e9ellement votre application aux \u00e9l\u00e9ments \u2013 bons et mauvais.<\/p>\n

Si vous ne pr\u00eatez aucune attention \u00e0 la s\u00e9curit\u00e9, vous risquez d'\u00eatre spamm\u00e9 par un stratag\u00e8me inf\u00e2me de pirates informatiques et vos utilisateurs se plaindront lorsque quelque chose ne fonctionne pas ou seront spamm\u00e9s par des clowns nig\u00e9rians avec des pots d'or pour partager. Mais que faire?<\/p>\n\n

12 contr\u00f4les de s\u00e9curit\u00e9 \u00e0 effectuer avant de publier une RailsApp<\/strong><\/h5>\n
    \n \t
  1. Ne faites pas confiance aux utilisateurs connect\u00e9s. (L'authentification est une chose, l'autorisation d'effectuer certaines t\u00e2ches en est une autre.)<\/span><\/li>\n \t
  2. M\u00e9fiez-vous des missions de masse. (Utilisez attr_accessible dans vos mod\u00e8les\u00a0!)<\/span><\/li>\n \t
  3. Rendre certains attributs non modifiables avec attr_readonly.<\/span><\/li>\n \t
  4. M\u00e9fiez-vous des vecteurs d'injection SQL. (Le SQL brut dans votre code m\u00e9rite d'\u00eatre \u00e9tudi\u00e9.)<\/span><\/li>\n \t
  5. Emp\u00eacher le t\u00e9l\u00e9chargement de fichiers ex\u00e9cutables.<\/span><\/li>\n \t
  6. Filtrez les param\u00e8tres sensibles des journaux.<\/span><\/li>\n \t
  7. M\u00e9fiez-vous du CSRF (Cross-Site Request Forgery) et utilisez protector_from_forgery et csrf_meta_tag.<\/span><\/li>\n \t
  8. M\u00e9fiez-vous du XSS (Cross-Site Scripting) et utilisez l'assistant h dans les vues (c'est la valeur par d\u00e9faut dans Rails 3, heureusement).<\/span><\/li>\n \t
  9. M\u00e9fiez-vous des d\u00e9tournements de session.<\/span><\/li>\n \t
  10. \u00c9vitez d'utiliser des redirections vers les URL fournies par l'utilisateur.<\/span><\/li>\n \t
  11. \u00c9vitez d'utiliser des param\u00e8tres utilisateur ou du contenu dans la m\u00e9thode send_file.<\/span><\/li>\n \t
  12. Rendre priv\u00e9es les m\u00e9thodes non-ActionController.<\/span><\/li>\n<\/ol>\nPrenez contact avec nous.<\/a>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
    \n\t\t\t\t\t\t
    \n\t\t\t\t\t
    \n\t\t\t
    \n\t\t\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t

    Abonnez-vous pour les derni\u00e8res mises \u00e0 jour<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t
    \t\t\t\t\t