Forum Programmation.php Quelle est ma responsabilité?

Posté par .
Tags : aucun
7
7
mar.
2011

Hello tout le monde.

Je suis développeur php dans une boite. Je travaille en ce moment sur un script qui gère un formulaire de contact, et qui à été codé avec les pieds (forcément, puisque ce n'est pas moi qui l'ai codé). J'ai repéré plusieurs failles de sécu potentielles, en fait c'est simple, rien n'est filtré... c'est codé à l'ancienne quoi.

Je suis bien ennuyé parce que l'on me demande d'ajouter des fonctionnalités... et qu'il est clair que le temps de sécuriser l'application ne fait pas parti du budget.

Si je touche au code, et que je sécurise en même temps ce que je vois... mais que j'en oublie une partie... je pense que cela me sera reproché... et comme la direction cherche un prétexte pour se débarrasser de moi, je flippe un peu.

Est ce que vous auriez des idées sur ce que je dois faire?

Je prévois d'envoyer un mail à mon supérieur pour lui préciser que le script fait à l'arrache n'est pas du tout sécurisé, et que le développement qu'il me demande prendra plus de temps... mais est ce que ça suffirait? (je préférerai que l'on utilise un CMS, mais je leur ai déjà proposé, et il n'y a pas le budget pour ça).

Merci

Tit'nouille

  • # Envoie ton CV

    Posté par (page perso) . Évalué à 9.

    la direction cherche un prétexte pour se débarrasser de moi

    J'ai envie de dire, pars avant qu'ils ne te chassent ! Les licenciements ça leur coûte cher, sauf si c'est pour faute grave, donc ils vont dégrader ton cadre de travail jusqu'à ce que tu en aies marre.

    Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/

  • # Envoie l'url

    Posté par . Évalué à 10.

    Donne l'url du formulaire de contact, on va te générer de quoi t'occuper.

    • [^] # Re: Envoie l'url

      Posté par . Évalué à 7.

      L'idée paraît bonne mais surtout pas si tu veut te faire virer c'est la meilleure solution. Arriver, dire :

      Regarder dans ma boite ils savent pas sécuriser leur site http://exemple.fr, amusez-vous !

      Je suis même pas sûr que ce ne soit pas considérer comme une faute grave (à la rigueur si tu poste le lien sur 4chan ^).

      Personnellement, je pense que le mieux c'est d'en informer ton superieur par écris avec si possible un exemple d'attaque qui passe bien, pas trop compliqué à faire et qui fait le maximum de dégats (du genre qui coûtent à l'entreprise).

      Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

  • # faire un audit

    Posté par . Évalué à 10.

    on te demandes d'ajouter des fonctionnalités,

    mais ca ne t'empeche pas de faire un etat des lieux (ce que tu as fais) et surtout de faire part de tes remarques à ta hierarchie.

    ainsi tu te couvres, en effet, s'ils te disent de juste ajouter les fonctionnalités demandées, et qu'apres ils te reprochent de ne pas avoir fait un truc securisé, tu pourras toujours ressortir l'email qui fait part de tes remarques et leur souhait de simplement ajouter des chose.

    et si tu ne veux pas te faire virer, faut bosser proprement, en se couvrant au maximum

    • [^] # Re: faire un audit

      Posté par . Évalué à 6.

      C'est comme pour les trucs à faire pour avant hier. Il faut faire un planning dès le début pour montrer que tu va forcément dans le mur.

      Ou encore, dans ton cas, tu préviens clairement (par écrit) des problèmes de sécurité.

      "La première sécurité est la liberté"

  • # devoir de conseil

    Posté par . Évalué à 3.

    Du moment que tu as mis le nez dans le code, tu dois alerté sur ce que tu y as découvert. Sinon, cela pourra t'être reproché.
    A minima ton responsable et pour sécuriser ta position, une autre personne impliquée dans le projet: un responsable sécurisé, un responsable métier; surtout si tu sens que ton responsable tente de taire l'affaire..

    • [^] # Re: devoir de conseil

      Posté par . Évalué à 0.

      Oui, j'ai envoyé des e-mails très clairs concernant la sécurité, et j'en ai parlé à un collègue (mais il n'est déjà plus dans la boite). Je garde les copies imprimées au chaud :)

  • # Syndicats

    Posté par (page perso) . Évalué à 2.

    Pour ce genre de soucis, ton syndicat pourra t'apporter un conseil juridique de qualité. Ils ont des gens vraiment compétents. Il ne faut pas rigoler avec cela.

  • # Conseil qui vaut ce qu'il vaut

    Posté par (page perso) . Évalué à 2.

    1. commencer à chercher un autre job avant qu'on te vire
    2. faire une rupture conventionnelle de contrat. Tu garderas ton droit aux assedics, et si ta boite accepte l'idée de la rupture conventionnelle, tu toucheras une compensation financière au moins égale à une indemnité de licenciement.
    • [^] # Re: Conseil qui vaut ce qu'il vaut

      Posté par . Évalué à 1.

      Merci pour ces judicieux conseils.

      La phase des négociations pour la rupture conventionnelle n'a pas abouti à un accord.
      On en est maintenant à l'entretien préalable au licenciement.

      Je trouverai une boite qui a du travail même en été.
      j'ai un super moral maintenant que je sais ce qui va se passer :)

      Tit'nouille

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.