En tant que programmeur ou développeur, l'importance de créer des applications sécurisées ne peut être négligée.
La sécurité logicielle aborde la gestion des attaques malveillantes en identifiant les vulnérabilités potentielles des logiciels et en prenant les précautions nécessaires pour les protéger.
Les logiciels ne peuvent jamais être sécurisés à 100 %, car les développeurs peuvent ignorer un bug, introduire de nouveaux bugs tout en corrigeant ceux existants ou introduire de nouvelles vulnérabilités via des mises à jour.
Cependant, il existe deux méthodes principales que tous les développeurs de logiciels peuvent utiliser pour garantir la création de logiciels sécurisés. Il s'agit d'écrire du code sécurisé dès le début et de tester le code efficacement.
La sécurité des logiciels joue un rôle extrêmement important
Comment écrire du code sécurisé
L'écriture de code sécurisé n'a qu'une seule chose à faire : la gestion des erreurs. Si vous pouvez anticiper chaque valeur potentielle que l'utilisateur peut fournir à l'application et générer une réponse dans le programme pour cette valeur, alors vous écrivez du code sécurisé.
C'est beaucoup plus simple que vous ne le pensez, car tous les bons développeurs savent presque tout sur les applications qu'ils développent. Par conséquent, vous devez connaître toutes les valeurs dont votre application a besoin pour effectuer une tâche (valeurs approuvées) et comprendre que toutes les autres valeurs pouvant exister sont des valeurs non approuvées.
Écrire du code sécurisé
Supposons que vous souhaitiez créer un programme qui n'accepte que deux valeurs entières de l'utilisateur et effectue une opération d'addition sur celles-ci. En bon développeur, vous savez désormais tout sur votre application. Vous connaissez toutes les valeurs que ce programme acceptera (valeurs entières) et vous connaissez la tâche que ce programme accomplira (une opération d'addition).
Exemple de création d'un programme en Java
import java.util.Scanner;
public class Main {
//The main function that executes the program and collects the two values
public static void main(String[] args) {
System.out.println("Please enter your two integer values: ");
int value1;
int value2;
Scanner input = new Scanner(System.in);
value1 = input.nextInt();
value2 = input.nextInt();
addition(value1, value2);
input.close();
}
//the function that collects the two values and displays their sum
private static void addition(int value1, int value2) {
int sum;
sum = value1 + value2;
System.out.println("The sum of the two integer values you entered: "+ sum);
}
}Le code ci-dessus crée une application qui correspond exactement aux exigences. Une fois exécuté, il produira la ligne suivante dans la console :
Please enter your two integer values:L'application restera alors en pause jusqu'à ce que l'utilisateur entre deux valeurs entières dans la console (c'est-à-dire entrez la première valeur, appuyez sur la touche Entrée et répétez).
Si l'utilisateur saisit les valeurs 5 et 4 dans la console, le programme produit le résultat suivant :
The sum of the two integer values you entered: 9C'est super. Le programme fait exactement ce qu'il est censé faire. Cependant, si un utilisateur malveillant entre et saisit une valeur non entière, telle que « g », dans votre application, il y aura un problème. En effet, l'application ne contient aucun code qui protège contre les valeurs non approuvées.
À ce stade, votre application plantera, créant une passerelle potentielle vers votre application afin que les pirates sachent exactement quoi faire ensuite.
Exemple de sécurité du programme
import java.util.InputMismatchException;
import java.util.Scanner;
public class Main {
//The main function that executes the program and collects the two values
public static void main(String[] args) {
try {
System.out.println("Please enter your two integer values: ");
int value1;
int value2;
//using the scanner class to read each input from the user,
//and assign it to is respective variable (throws an exception if the values are not integers)
Scanner input = new Scanner(System.in);
value1 = input.nextInt();
value2 = input.nextInt();
//calls the addition function and passes the two values to it
addition(value1, value2);
//closes the input stream after it has come to the end of its use
input.close();
//handle all the errors thrown in the try block
}catch(InputMismatchException e){
System.out.println("Please enter a valid integer value.");
}catch(Exception e) {
System.out.println(e.getMessage());
}
}
//the function that collects the two values and displays their sum
private static void addition(int value1, int value2) {
int sum;
sum = value1 + value2;
System.out.println("The sum of the two integer values you entered: "+ sum);
}
}Le code ci-dessus est sécurisé car il effectue la gestion des exceptions. Par conséquent, si vous saisissez une valeur non entière, le programme générera la ligne de code suivante :
Please enter a valid integer value.Qu’est-ce que la gestion des exceptions ?
Gestion des exceptions
Essentiellement, la gestion des exceptions est la version moderne de la gestion des erreurs, dans laquelle vous séparez le code de gestion des erreurs du code de gestion normal. Dans l'exemple ci-dessus, tout le code de gestion normal (ou le code potentiellement générateur d'exceptions) se trouve dans le bloc try et tout le code de gestion des erreurs se trouve dans le bloc catch.
Si vous regardez de plus près l’exemple ci-dessus, vous verrez qu’il y a deux blocs catch. Le premier prend un argument InputMismatchException - c'est le nom de l'exception levée si une valeur non entière est saisie. Le second prend l' argument Exception , ce qui est important car son objectif est de trouver toutes les exceptions dans le code que le développeur n'a pas trouvées lors des tests.
Vérifiez le code
Vous ne devez jamais sous-estimer la puissance du test et du retest du code. De nombreux développeurs (et utilisateurs d’applications) découvrent de nouveaux bugs une fois le logiciel mis à la disposition du public.
Des tests approfondis de votre code garantissent que vous savez ce que fera votre application dans toutes les situations imaginables, ce qui vous permet de la protéger contre les violations de données.
Prenons l'exemple ci-dessus. Et si, une fois terminée, vous testiez l'application uniquement avec des valeurs entières ? Vous pouvez quitter l’application en pensant que vous avez réussi à identifier toutes les erreurs potentielles alors qu’en réalité ce n’est pas le cas.
La réalité est que vous ne pourrez peut-être pas identifier toutes les erreurs potentielles. C'est pourquoi la gestion des erreurs fonctionne en tandem avec le test de votre code. Le test du programme ci-dessus révèle une erreur potentielle qui se produira dans une situation particulière.
Cependant, s'il existe une autre erreur qui n'est pas apparue lors du test, le deuxième bloc catch du code ci-dessus la gérera.
Sécurité de la base de données
Si votre application se connecte à une base de données, le meilleur moyen d'empêcher l'accès à cette base de données est de garantir que tous les aspects de l'application sont sécurisés. Cependant, que se passe-t-il si votre application est conçue dans le seul but de fournir une interface à ladite base de données ?
C'est là que les choses deviennent un peu plus intéressantes. Dans leur forme la plus élémentaire, les bases de données permettent aux utilisateurs d'ajouter, de récupérer, de mettre à jour et de supprimer des données. Un système de gestion de base de données est une application qui permet aux utilisateurs d'interagir directement avec une base de données.
La plupart des bases de données contiennent des données sensibles. Par conséquent, pour maintenir l'intégrité et limiter l'accès à ces données, il existe une exigence : le contrôle d'accès.
Contrôle d'accès
Le contrôle d'accès vise à maintenir l'intégrité de la base de données en déterminant les types de personnes pouvant accéder à la base de données et en limitant le type d'accès dont elles disposent. Par conséquent, un bon système de gestion de base de données doit être capable d’enregistrer qui a accédé à la base de données, quand et ce qu’ils ont fait.
Cela peut également empêcher les utilisateurs enregistrés d'accéder ou de modifier des données avec lesquelles ils ne sont pas autorisés à interagir.
Si vous êtes nouveau sur les Chromebooks ou si vous venez d'acheter un Chromebook mais que vous ne savez pas comment l'utiliser au mieux, consultez les 20 conseils ci-dessous pour rendre votre expérience Chromebook plus fluide.
EternalRocks est un malware plus dangereux que WannaCry, exploitant jusqu'à 7 vulnérabilités de la NSA et opérant caché sur les ordinateurs.
Si une carte graphique Intel est installée sur votre ordinateur Windows, vous pouvez optimiser les jeux pour qu'ils fonctionnent correctement en quelques clics. Tout ce que vous avez à faire est de les ajouter au Intel Graphics Command Center et le programme s'occupera du reste.
Vous êtes-vous déjà demandé si Windows 11 ou Windows 10 continue de télécharger des fichiers lorsque votre PC se met en veille ?
Cet article comparera GiFi et WiFi en décrivant les différences fondamentales entre les technologies GiFi et WiFi. Fondamentalement, GiFi est utilisé pour Gigabit Wireless et WiFi est utilisé pour Wireless Fidelity ou WLAN.
Pour empêcher la divulgation d'informations personnelles ou de contenus sensibles ou la suppression de données lors de l'apport d'un téléphone ou d'un ordinateur portable pour réparation ou garantie, les utilisateurs doivent trouver des moyens de protéger leurs informations personnelles.
Après avoir configuré la disposition du menu Démarrer, vous pouvez sauvegarder la disposition. Voici comment sauvegarder et restaurer la disposition du menu Démarrer sous Windows 10.
Avoir une connexion Internet est très important car de nombreux emplois dépendent d’une connexion Internet stable. Il peut y avoir de nombreuses raisons différentes pour lesquelles votre connexion ne fonctionne pas correctement, et ces problèmes peuvent être facilement résolus.
Si la zone de notification Windows occupe trop de place sur votre écran, voici comment vous en débarrasser et récupérer un espace précieux dans la barre des tâches.
VoodooShield est comme un verrou informatique et un filtre pour tuer les virus. Par défaut, VoodooShield active ou désactive le verrouillage selon que vous courez un risque ou non.
