Les principales failles de sécurité des applications web actuelles, telles que recensées par l'OWASP: principes, parades et bonnes pratiques de développement

3.1.2 Evolution des architectures applicatives

Les applications Web ont suivi la même évolution que les applications plus anciennes.

La décennie 1970-1980 était dominée par le système Mainframe. Un serveur centralisait l'ensemble des informations, exécutait les traitements, gérait les droits d'accès. Le client manipulé par l'utilisateur permettait d'envoyer des demandes de traitement au serveur et d'en afficher les résultats. La machine était passive. Ce mode de fonctionnement est le même que celui du protocole http. Le navigateur ne sert qu'à afficher les réponses http.

La décennie suivante 1980-1990 a vu l'émergence du système client/serveur. Le client récupérait des données depuis le serveur de base de données, exécutait les traitements puis affichait les informations à l'écran et enfin mettait à jour les données sur le serveur si nécessaire. Le serveur ne servait plus qu'à stocker les informations et à exécuter éventuellement des traitements de nuit. Cette architecture posait des problèmes de maintenance des applications sur chacun des postes utilisateur concerné. Les applications Web ont suivi cette évolution avec les « applets » au début des années 90. Il s'agissait d'applications écrites dans un langage de développement, exécutées par le navigateur depuis un site Web.

A partir des années 90, les architectures étaient composées de plusieurs tiers. L'application cliente présentait alors les informations à l'utilisateur et invoquait des services. Les services étaient responsables de l'exécution des processus. Les processus pouvaient être distribués sur plusieurs serveurs. Enfin des serveurs étaient responsables du stockage des données. Dans le milieu des années 90, les applications Web ont également intégré plusieurs composants. Le navigateur Web ne s'occupe plus que de l'affichage. Le serveur http pour répondre aux requêtes génère dynamiquement l'interface graphique dans les pages HTML en faisant appel à des services ou en interrogeant les bases de données.

Depuis les années 2000 les applications Web et les autres types d'applications clientes peuvent utiliser les mêmes services, ce qui facilite la réutilisation des développements et évite la redondance des données.

3.1.3 Web 2.0

J. Governor, D. Hinchcliffe et D. Nickull [6] expliquent que le Web 2.0 n'est pas une mise à jour technique mais un changement de comportement des internautes. Comme évoqué précédemment, le Web avait pour but initial de mettre à disposition des informations. L'utilisateur était passif face aux sites Web. Puis le Web est devenu collaboratif, l'utilisateur est alors devenu créateur de contenu sans avoir à connaître les protocoles techniques sous-jacents. L'internaute ne consulte plus l'information, il publie du contenu quel que soit le média (texte, vidéo, musique). Internet a permis de mettre en relation des ordinateurs et est devenu le support du Web qui a permis d'y mettre à disposition des informations. A son tour le Web est devenu le support du Web 2.0 qui a permis de mettre en relation des personnes.

Ce nouveau comportement a pu naître grâce à la possibilité de modifier l'interface graphique sans recharger complètement la page Web. Elle devient en réalité un conteneur dans lequel il est possible de mettre à jour et de différencier le contenu, les fonctions, selon la zone de la page.