Reprise du message précédent :

Mais sur ton coeur d'expertise sécu réseau tu es normalement capable de théoriser des concepts indépendamment de la technologie employée.
L'ANSSI y arrive bien
Après tu vas avoir quelques applis métiers qui mettent le dawa sur le réseau. C'est de l'opinion générale toujours la faute du réseau derrière de toute manière (alors que c'est plutôt 30% des cas).

Mais là je parle surtout de personnes qui se prétendent Architectes d'Entreprise (ou Urbanistes en systèmes d'information pour les couches les plus élevées du modèle TOGAF). Ces personnes sont censées apporter la méthode aux autres, ce sont des prescripteurs.

This is a recurring pattern we've observed in vibe-coded applications - API keys and secrets frequently end up in frontend code, visible to anyone who inspects the page source, often with significant security consequences.

Honnêtement je ne sais même pas comment c’est possible. Ça revient à foutre une sqlConnectionString dans une static JS ou faire un endpoint qui accepte un SELECT global sur toutes les bases ou schéma …. Ok  pour les API mais les secrets putain

Remarque ils doivent peut être pousser leur .env dans le repo ….

C'est un grand classique ça la sécu codée dans le front en oubliant le back.

Bonjour  

 
Je ne me suis jamais posé la question de savoir si on pouvait se connecter directement à la bdd depuis le JS et faire son SELECT comme si Firefox était SSMS .
Utiliser un endpoint pour y envoyer sa requête et se faire niquer en injection SQL ou laisser dans le code la clé api la oui par contre c’est du grand classique

 
 
Bonjour

C'est tellement con

Coucou

 
Le problème du vibe coding c'est que si tu ne sais pas ce que tu ne sais pas tu ne demandes pas à l'IA de gérer le truc et tu arrives à des erreurs qu'un dev débutant n'aurait pas fait

 
Puis je ne serais pas étonné que s’étant alimenté de repo plein de projets perso foireux. Le truc sorte une quantité de truc bien fucké . Je m’en sers quand même sur des trucs relou comme du XQUERY/FLOWR mais il arrive très régulièrement que ça me sorte des trucs totalement hors sol .  
C’est vraiment un chouette outil dans certain cas mais c’est pas magique non plus .

C'est un outil qui va demander à être contrôlé, pas un dev en qui on peut faire toute confiance.

C'est pratique pour des regex aussi

 
Oui.
Et une mauvaise langue te répondrais que l'ANSSI, comme beaucoup d'administrations, est capable de beaucoup d'enrobage conceptuel en négligeant d'autres aspects.

 
c'est marrant dans l'info, vous avez des "architectes" et des "urbanistes", comme dans mon métier    
 
alors que votre domaine a été inventé bien après l'urbanisme et l'architecture

ouais, ce sont les constructeurs des autoroutes de l'information

Parce qu'on (Urbanistes) gère fondamentalent des grandes zones, des quartiers et des îlots et que tout ça ensemble s'appelle le plan d'occupation des sols.

Après en architecture tu as plusieurs couches : l'architecture métier (business analyst), architecte fonctionnel (capable de faire une spécification fonctionnelle détaillée), architecte applicatif (qui va te dire que le truc doit être gaulé de telle manière), l'architecte technique (qui va pondre la solution technique). Tu peux rajouter l'architecture de la donnée qui couvre ces 3/4 niveaux.

En TOGAF tu as aussi une couche spéciale vision qui permet de structurer une stratégie, au dessus du métier.

Une chose est sûre : c'est très compliqué d'être bon à tous les niveaux et impossible d'être excellent. Perso je me limite à vision, métier et fonctionnel et c'est déjà trop pour une semaine de travail

Je peux te confirmer que notre SSI dit exactement la même chose

Beaucoup de blabla pour faire fonctionner Word sur le client

ah non pour ça on prend une presta payée par tes impôts.

Bonjour  

Hep,

Stein files, la bombe à fragmentation

COucou

https://x.com/nostalgiaa/status/2018819339026108548
 

mais...

on continue

https://www.youtube.com/watch?v=waPiUSloDQM&t=21

Bonjour  

hello all

Oui

Coucou

cc

Bonjour

Bonjour