mardi 20 janvier 2009

A la découverte des sites mobiles


Avec la prolifération des navigateurs dans les mobiles 3G, de plus en plus d'entreprises ouvrent des interfaces mobiles pour leurs clients.

Il m'est arrivé durant une de mes expériences professionnelles de devoir faire face aux problématiques que ces nouvelles plateformes ont créé.
Les protections et les sécurités mises en place sur les sites mobiles sont très naïves. Les développeurs sur ces plateformes appliquent bien souvent moins de revue de code devant se dire que seuls des mobiles avec des navigateurs bridés peuvent accéder à leur plateforme.


On notera par exemple (cas sur énormément de sites) l'absence totale de captcha ou de protection à l'enregistrement sur le site mobile, quand ils sont présents sur le site principal.


Pour ce qui est de la détection, la quasi totalite de ces sites se basent sur une liste de 'user-agent' (description du navigateur, version et OS).
Or celui-ci est bien évidemment changeable par n'importe qui (moi) et par plusieurs moyens comme :
- un plugin-firefox
- En scriptant les requêtes avec curl ou autre

Une solution un peu plus évoluée peut se voir, elle consiste à filtrer uniquement les ranges d'ips correspondantes aux sorties mobiles chez les différents opérateurs téléphoniques.
Or ceci ne serait même pas suffisant sachant qu'il est toujours possible de mettre son téléphone en relais, ou utiliser une clef 3G sur un ordinateur classique afin de pouvoir utiliser la puissance de sa bécane sur une ip de sortie dite "mobile".



Dans les solutions pour remédier à ce problème on notera :
- Mettre captcha sophistiqués (et encore ...)
- Enlever l'enregistrement via mobile (Google)
- Faire une check via renvoi de SMS (Facebook)

Et au niveau exploitation, les protections habituelles applicables au site web DOIVENT aussi s'appliquer aux sites mobiles.

--
Frank