Le site de la RATP ne comporte pas de faille. c’est juste un choix malheureux de stratégie.
Il existe deux manières de transmettre les données dynamiques d’un site web pour en recueillir les infos :
- La variable $_GET []; qui transmet les infos en clair, employé principalement pour le débogage d’un site .
Les résultats de la requête apparaissent dans la barre d’URL.
- La variable $_POST[]; qui transmet les données en les encapsulant dans le HTTP_header. les données n’apparaissent pas et sont sécurisés, mais non cryptés. En clair avec un sniffeur vous pouvez voir les trames envoyés.
Le seul vrai moyen de sécuriser les données sensibles d’un site est d’employer HTTPS.
Fanch
Technicien supérieur en informatique de communication pour vous servir.
-=-=-=-=-=—=-=-=-=-=-=-==–==-=-=
Lorsqu’un hacker, ou même un simple internaute, découvrent intentionellement ou non une faille de sécurité sur un site internet, ils vont le plus souvent le signaler au propriétaire de ce site.
Mi-juillet, un internaute souscrivait en ligne au passe Navigo (une carte à puce équipée d’une puce RFID permettant de franchir les bornes de contrôle dans les transports en commun d’Ile-de-France sans avoir de ticket à sortir) lorsqu’il s’est rendu compte qu’une partie de son numéro de dossier apparaissait dans l’adresse (URL) de la page en question.
Fanch