Suite à l'évocation du problème par @lanodan, je me suis rendu compte que je n'avais jamais couché par écrit cette anecdote sur une faille de sécurité de ZeroBin.
Cela me semble suffisamment édifiant pour servir de leçon, et cela ma rendu terriblement humble sur la sécurité.
Autant en faire profiter tout le monde: https://sebsauvage.net/wiki/doku.php?id=securite
@sebsauvage @lanodan
> Plus vous augmentez les dépendances de votre logiciel, plus vous augmentez les risques de sécurité.
Par contre, tu doit pas gérer la sécurité de tout ton système et l'effort est "factoriser" (chaque projet qui utilise la lib peut potentiellement peut investir temps et/ou argent pour la securiser), non?
Ça me paraît pas simple, il y a aussi un compromis entre popularité donc sûrement beaucoup plus visé par des attaques mais beaucoup plus robuste.
effectivement, mais c'est là où il faut vraiment balancer:
Plus utilisé = plus examiné/scruté donc moins de failles ?
Plus utilisé = cible plus intéressante ?
Plus utilisé = plus de fonctionnalité (log4j) = syndrome du kitchen sink = failles de sécurité (log4j est censé loguer, pourquoi il a des fonctions pour télécharger+exécuter ?)
Donc le choix est délicat.
