S'assurer qu'une application Web est sécurisée avant de l'utiliser

8

Comment vérifier la sécurité et la légitimité d'une application Web avant d'y accéder?

security Woot4Moo
la source

Réponses:

5

La réponse de dhulk ​​contient de bonnes informations, mais je pense que celles-ci sont secondaires.

Commençons par quelques notions de base:

Fonctionne-t-il sur https ? Regardez dans votre barre d'adresse. Si l'URL commence par https, le trafic vers et depuis cette application est crypté.

Le fait qu'il fonctionne sur https ne garantit pas qu'il est sécurisé. L'entreprise (ou la personne) qui a construit le site a un accès complet à toutes les informations que vous envoyez.

Examiner le certificat Double-cliquez sur l'icône du cadenas pour voir les informations de certification (la position du cadenas varie d'un navigateur à l'autre). Regardez à qui le certificat est délivré. Si le nom de l'entreprise ne vous semble pas familier, effectuez quelques recherches sur Google pour déterminer la relation entre le titulaire du certificat et le service.

Recherchez une politique de confidentialité. Cela devrait préciser ce qu'ils font des informations que vous leur fournissez. Bien sûr, cela ne garantit pas qu'ils respecteront leur politique déclarée.

Recherchez sa réputation. Faites des recherches sur Google et Twitter. Essayez des choses comme «ne faites pas confiance à X» ou «sécurité de X» (où X est le service)

Dans l'ensemble, vous recherchez une image cohérente qui suggère que les opérateurs du site sont honnêtes et dignes de confiance. Ce n'est toujours pas une garantie, mais c'est un bon début avant de divulguer des informations personnelles.

Doug Harris
la source
Merci pour votre contribution à ce sujet, j'ai posé une autre question spécifique sur laquelle vous pourrez peut-être aider: webapps.stackexchange.com/questions/807/…
Woot4Moo
Réponse décente, mais les préoccupations de Dhulk sont tout sauf secondaires. Les attaques de script intersite sont un bon moyen de détourner votre ordinateur par des parties inconnues, donc sa recommandation NoScript est très importante.
Scott Lawrence
Oui, en ce qui concerne NoScript, le seul endroit où je ne l'utilise pas est ici au travail, car je suis développeur Web et je regarde généralement Google, Stack Overflow et les sites que j'ai construits, donc je suis pas autant préoccupé par les attaques par script à ce stade.
Blair Scott
Je ne voulais pas laisser entendre que les préoccupations de Dhulk étaient de moindre importance. Au lieu de cela, je voulais dire qu'il y avait d'autres éléments que j'examinerais en premier. NoScript est une très bonne solution - pour ceux d'entre nous qui comprennent ce qu'il fait. Je pense que la grande majorité des internautes ne savent pas, s'en moquent et ne devraient pas avoir besoin de savoir ce qui est géré par les scripts par rapport au HTML statique. Avec NoScript installé, ces utilisateurs seront trompés par un site apparemment non fonctionnel.
Doug Harris
Très vrai, je m'oublie souvent que je le fais fonctionner et de légères frustrations se produisent toujours lorsque je visite un nouveau site et cela ne fonctionne pas. Ce n'est pas quelque chose que les novices voudront vraiment utiliser.
Blair Scott
4

Ce que vous recherchez peut être un peu difficile. Cependant, si vous utilisez Firefox, il y a quelques choses que je fais pour me protéger des pages que je n'ai jamais vues auparavant.

Tout d'abord, j'utilise le module complémentaire NoScript pour Firefox. Il empêche Javascript de s'exécuter sur des sites que vous n'autorisez pas explicitement.

Deuxièmement, je viens de le découvrir il y a quelques jours, HTTPS Everywhere vous fait basculer vers la version HTTPS de plusieurs sites qui vous offrira une plus grande sécurité. En plus de cela, vous pouvez ajouter autant de jeux de règles que vous le souhaitez afin que tout site que vous rencontrez et que vous souhaitez utiliser la version HTTPS (doit être disponible bien sûr) vous le pouvez.

J'espère que cela t'aides.

Blair Scott
la source
HTTPS Everywhere est une suggestion géniale. Font-ils une extension pour Chrome?
jinsungy
Je ne sais pas vraiment, je viens de l'apprendre récemment, mais j'espère bien.
Blair Scott
Je vais jeter un œil à HTTPS Everywhere
Woot4Moo
Je ne peux pas voir comment l'existence de https garantit que l'application Web est "sécurisée". vous leur transférez des trucs cryptés et derrière votre dos, ils vendent les données. peut-être que je n'ai pas compris le sens de la question en premier lieu ...
akira
@akira ce n'est pas vraiment le cas, mais l'application Web sécurisée n'est pas tout ce dont vous avez besoin. Il n'y a pas vraiment de moyen de garantir la sécurité de vos données, car même les personnes qui prétendent prendre soin de vos informations (vous vous souvenez de Google Buzz?) Peuvent accidentellement faire avec vos données des choses que vous préférez ne pas faire.
Blair Scott
4

Suggérant quelques points non techniques que vous voudrez peut-être considérer en plus des mesures de sécurité mentionnées par d'autres. Ils nécessitent que vous utilisiez le site dans une certaine mesure, vous devrez donc être prêt à consulter des parties du site, donc si vous êtes vraiment inquiet, vous voudrez peut-être prendre des précautions en premier (pas de script, désactivation des cookies, etc.).

  • Il existe une page Contactez-nous qui répertorie une adresse physique et un numéro de téléphone pour l'entreprise.
  • Tous les liens pointent vers l'endroit où ils prétendent pointer - vérifiez que l'URL dans la barre d'état correspond à ce que vous attendez.
  • Ils vous permettent de parcourir le site avant de vous inscrire. Bien que vous ne puissiez pas vous attendre à accéder à tout le contenu, vous devriez pouvoir en voir quelques-unes - des images en basse résolution, les premiers paragraphes d'articles, etc.
  • Tous les frais sont clairement indiqués avant de vous inscrire.
  • Il existe une option gratuite qui permet d'accéder à certains contenus.
  • Le site ne devrait pas vous demander d'installer quoi que ce soit sur votre ordinateur.

Bien que je ne m'attendrais pas à ce que tous ces éléments soient toujours présents (à part la page contactez-nous) - après tout, chaque site est différent - je m'attendrais à du contenu gratuit.

ChrisF
la source
1

Vous ne pouvez jamais être certain à 100%.

Différents navigateurs peuvent vous aider de différentes manières:

IE a plusieurs fonctionnalités de sécurité

Tout comme Firefox

Et Chrome aussi

Tous les trois ont une fonctionnalité qui détectera les logiciels malveillants, le phishing, les certificats périmés ou défectueux.

Shevek
la source
0

Ma principale préoccupation est la sécurité, pas tant la légitimité. Parfois, un site est tellement nouveau que vous n'en trouverez pas grand-chose.

Pour des raisons de sécurité, je testerais si le site empêche XSS, CSRF, la traversée de répertoires, les dépassements de tampon, l'injection SQL, etc.

cherrypj
la source
0

Installez WOT ou SiteAdvisor ou recherchez le site sur leur site Web. Accédez à la page du site et lisez les avis.

Gélatine
la source