Forum Programmation.php Quelle est ma responsabilité?

Posté par Tit'nouille le 07 mars 2011 à 17:39.

Étiquettes : aucune

mar.

2011

Hello tout le monde.

Je suis développeur php dans une boite. Je travaille en ce moment sur un script qui gère un formulaire de contact, et qui à été codé avec les pieds (forcément, puisque ce n'est pas moi qui l'ai codé). J'ai repéré plusieurs failles de sécu potentielles, en fait c'est simple, rien n'est filtré... c'est codé à l'ancienne quoi.

Je suis bien ennuyé parce que l'on me demande d'ajouter des fonctionnalités... et qu'il est clair que le temps de sécuriser l'application ne fait pas parti du budget.

Si je touche au code, et que je sécurise en même temps ce que je vois... mais que j'en oublie une partie... je pense que cela me sera reproché... et comme la direction cherche un prétexte pour se débarrasser de moi, je flippe un peu.

Est ce que vous auriez des idées sur ce que je dois faire?

Je prévois d'envoyer un mail à mon supérieur pour lui préciser que le script fait à l'arrache n'est pas du tout sécurisé, et que le développement qu'il me demande prendra plus de temps... mais est ce que ça suffirait? (je préférerai que l'on utilise un CMS, mais je leur ai déjà proposé, et il n'y a pas le budget pour ça).

Merci

Tit'nouille

# Envoie ton CV

Posté par Zarmakuizz (site web personnel) le 07 mars 2011 à 18:05. Évalué à 9.

la direction cherche un prétexte pour se débarrasser de moi

J'ai envie de dire, pars avant qu'ils ne te chassent ! Les licenciements ça leur coûte cher, sauf si c'est pour faute grave, donc ils vont dégrader ton cadre de travail jusqu'à ce que tu en aies marre.

Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/
# Envoie l'url

Posté par jigso le 07 mars 2011 à 18:29. Évalué à 10.

Donne l'url du formulaire de contact, on va te générer de quoi t'occuper.
- [^] # Re: Envoie l'url
  
  Posté par barmic le 08 mars 2011 à 08:28. Évalué à 7.
  
  L'idée paraît bonne mais surtout pas si tu veut te faire virer c'est la meilleure solution. Arriver, dire :
  
  Regarder dans ma boite ils savent pas sécuriser leur site http://exemple.fr, amusez-vous !
  
  Je suis même pas sûr que ce ne soit pas considérer comme une faute grave (à la rigueur si tu poste le lien sur 4chan ^^).
  
  Personnellement, je pense que le mieux c'est d'en informer ton superieur par écris avec si possible un exemple d'attaque qui passe bien, pas trop compliqué à faire et qui fait le maximum de dégats (du genre qui coûtent à l'entreprise).
  
  Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
# faire un audit

Posté par NeoX le 07 mars 2011 à 20:24. Évalué à 10.

on te demandes d'ajouter des fonctionnalités,

mais ca ne t'empeche pas de faire un etat des lieux (ce que tu as fais) et surtout de faire part de tes remarques à ta hierarchie.

ainsi tu te couvres, en effet, s'ils te disent de juste ajouter les fonctionnalités demandées, et qu'apres ils te reprochent de ne pas avoir fait un truc securisé, tu pourras toujours ressortir l'email qui fait part de tes remarques et leur souhait de simplement ajouter des chose.

et si tu ne veux pas te faire virer, faut bosser proprement, en se couvrant au maximum
- [^] # Re: faire un audit
  
  Posté par Nicolas Boulay (site web personnel) le 08 mars 2011 à 17:33. Évalué à 6.
  
  C'est comme pour les trucs à faire pour avant hier. Il faut faire un planning dès le début pour montrer que tu va forcément dans le mur.
  
  Ou encore, dans ton cas, tu préviens clairement (par écrit) des problèmes de sécurité.
  
  "La première sécurité est la liberté"
# devoir de conseil

Posté par steph1978 le 08 mars 2011 à 19:58. Évalué à 3.

Du moment que tu as mis le nez dans le code, tu dois alerté sur ce que tu y as découvert. Sinon, cela pourra t'être reproché.
A minima ton responsable et pour sécuriser ta position, une autre personne impliquée dans le projet: un responsable sécurisé, un responsable métier; surtout si tu sens que ton responsable tente de taire l'affaire..
- [^] # Re: devoir de conseil
  
  Posté par Tit'nouille le 29 avril 2011 à 09:31. Évalué à 0.
  
  Oui, j'ai envoyé des e-mails très clairs concernant la sécurité, et j'en ai parlé à un collègue (mais il n'est déjà plus dans la boite). Je garde les copies imprimées au chaud :)
# Syndicats

Posté par Michaël Malter (site web personnel) le 09 mars 2011 à 22:18. Évalué à 2.

Pour ce genre de soucis, ton syndicat pourra t'apporter un conseil juridique de qualité. Ils ont des gens vraiment compétents. Il ne faut pas rigoler avec cela.
# Conseil qui vaut ce qu'il vaut

Posté par liberforce (site web personnel) le 17 mars 2011 à 10:40. Évalué à 2.
1. commencer à chercher un autre job avant qu'on te vire
2. faire une rupture conventionnelle de contrat. Tu garderas ton droit aux assedics, et si ta boite accepte l'idée de la rupture conventionnelle, tu toucheras une compensation financière au moins égale à une indemnité de licenciement.
- [^] # Re: Conseil qui vaut ce qu'il vaut
  
  Posté par Tit'nouille le 29 avril 2011 à 09:28. Évalué à 1.
  
  Merci pour ces judicieux conseils.
  
  La phase des négociations pour la rupture conventionnelle n'a pas abouti à un accord.
  On en est maintenant à l'entretien préalable au licenciement.
  
  Je trouverai une boite qui a du travail même en été.
  j'ai un super moral maintenant que je sais ce qui va se passer :)
  
  Tit'nouille

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.