Bibliothèque de scripts Microsoft Anti-Cross Site
https://stackoverflow.com/questions/1406063
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
J'évalue la bibliothèque de scripts de site multisite Microsoft (AntiXSS V3)
Je dois dire qu'il me semble qu'en dehors de fournir une liste blanche plus complète de caractères acceptables, cela ne rapporterait rien à la partie qu'un programmeur diligent qui coderait toute sa sortie modifiable utilisateur / agent ne le ferait pas de toute façon.
Est-ce que je manque un truc?
La solution
Je ne pense pas qu'il vous manque quoi que ce soit, mis à part le fait que le nombre de programmeurs qui connaissent le bon codage sécurisé est très réduit et que ceux qui peuvent le faire correctement le sont encore moins.
Les bibliothèques sont écrites pour faciliter la tâche de votre développeur, et je suppose que toute bibliothèque écrite par Microsoft dans le seul but d'améliorer la sécurité serait confiée à un codeur (ou à une équipe de codeurs) experts. sur le terrain, par opposition à votre développeur de tous les jours qui se concentre sur les besoins de leur entreprise. (Je pense qu'ils accordent une grande importance à ce que cela soit fait correctement, compte tenu du fait que les produits Microsoft sont toujours décrits comme étant "insécurisés" par les détracteurs de MS)
En parallèle, pensez au cryptage. Un codeur diligent pourrait proposer un algorithme de cryptage sécurisé. Cependant, les directives de l'OWASP vous conseillent de NE PAS créer votre propre algorithme, mais d'utiliser des algorithmes testés, développés par des experts et bien testés.
Si nous avons un outil conçu par des experts, pourquoi voudrions-nous essayer de le faire nous-mêmes? Je dirais qu'il serait bon d'utiliser la bibliothèque de scripts anti-sites croisés de Microsoft pour cette seule raison, si elle fonctionne comme annoncé.
