Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
28 octobre 2012 7 28 /10 /octobre /2012 17:57

Offrir des services Internet est bien, mais que ces derniers tiennent la charge en cas d'affluence, c'est mieux (pour ne pas dire indispensable ?).

Le problème est que si les services non numériques (ex: bornes/guichets de vente) ne peuvent eux non plus encaisser le flot, parce qu'ils ont été réduits suite à la mise en place du site justement, alors la situation s'aggrave.

 

Voici l'exemple du jour : ugc.fr, dans le contexte de la sortie du dernier James Bond 007 en date, Skyfall. En un mot, inutilisable.

 

Premier constat : 1h30 à tenter d'acheter un billet en ligne le lendemain de la sortie officielle. Plus de 15 tentatives de transaction bancaire, aucune n'ayant (à priori) réussi. Des requêtes qui arrivent en expiration de délai, et une navigation très lente à plus d'une minute par page...

 

Deuxième constat, les messages d'erreur, qui n'ont visiblement pas l'air de respecter les bonnes pratiques de sécurité :

Capture_ugc_CentOS_271012.PNG

 

Je ne suis pas sûr que cette version de Apache soit à jour...


Capture_ugc_page-inaccessible_271012.PNG

Le serveur HTTP ne semble même plus répondre... Le panier d'achats a-t-il été conservé ? à priori non, mais pourtant certaines données sont conservées (film, salle, numéro de carte de réduction, etc) en réactualisant les pages.

Seule chose rassurante : la saisie du numéro de carte bleue n'a pas été faite, donc il ne devrait pas y avoir paiement "non contrôlé". Heureusement. 

 

Mais ce sont aussi les sites partenaires qui ont du mal à suivre :

Capture_allocine_VBScript_271012.PNG

Afficher ce type de message d'erreur peut probablement faciliter une intrusion...

 

Pour finir, au-delà de tout discours marketing sur le sujet dont je me détache, je voudrais rappeler que CISCO a déclaré que la solution réelle contre le déni de service relevait du rêve, après plus de 20 ans de recherches :

http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_7-4/dos_attacks.html

[citation]

Defense Mechanisms
From the beginning, all legitimate users have tried to respond against these threats. University communities and software corporations have proposed several methods against the DDoS threat. Despite the efforts, the solution remains a dream. The attackers manage to discover other weaknesses of the protocols and—what is worse—they exploit the defense mechanisms in order to develop attacks. 

 

Partager cet article

Repost0

commentaires