Le web et Internet sont au programme de NSI Terminale. Comprendre les protocoles, les technologies web et la sécurité est indispensable pour réussir le bac.
Internet est l'infrastructure physique et protocolaire mondiale (câbles, routeurs, protocoles IP/TCP). Le Web est un service applicatif qui fonctionne sur Internet : ensemble de pages reliées par des hyperliens, accessibles via HTTP/HTTPS. D'autres services utilisent Internet : email (SMTP), FTP, DNS.
Question probable
Quelle est la différence entre Internet et le Web ?
Réponse
→Internet est le réseau mondial de réseaux interconnectés via les protocoles IP et TCP. Il est né dans les années 1970 (ARPANET). C'est l'infrastructure : routeurs, câbles, satellites. Le Web (World Wide Web) a été inventé par Tim Berners-Lee en 1989 au CERN. C'est un service qui s'appuie sur Internet en utilisant le protocole HTTP et les URL pour accéder à des ressources hypermédias (HTML, images, vidéos). Email (SMTP), streaming (UDP) et FTP sont d'autres services d'Internet, distincts du Web.
Mnémotechnique
Internet = infrastructure (câbles, routeurs, IP). Web = service sur Internet (HTTP, HTML, URL). Berners-Lee 1989. "Internet est l'autoroute, le Web est une route qui y circule."
1 / 5
NSI
HTML/CSS/JavaScript
Définition
Les trois technologies fondamentales du web côté client. HTML (HyperText Markup Language) : structure du contenu (balises
HTTP (HyperText Transfer Protocol) est un protocole client-serveur sans état. Le client envoie une requête (méthode + URL + en-têtes + corps optionnel). Le serveur répond avec un code de statut et une ressource. GET = récupérer. POST = envoyer des données. PUT = modifier. DELETE = supprimer.
Question probable
Décrivez le fonctionnement d'une requête HTTP et les codes de statut.
Réponse
→Une requête HTTP GET :
```
GET /index.html HTTP/1.1
Host: www.exemple.fr
User-Agent: Mozilla/5.0
```
Réponse du serveur :
```
HTTP/1.1 200 OK
Content-Type: text/html
...
```
Codes de statut : 200 = OK, 201 = Créé, 301 = Redirection permanente, 400 = Mauvaise requête, 401 = Non authentifié, 403 = Interdit, 404 = Non trouvé, 500 = Erreur serveur. GET est idempotent et visible dans l'URL. POST transmet les données dans le corps de la requête (invisible dans l'URL).
Mnémotechnique
GET = récupérer (URL visible). POST = envoyer (corps, invisible). 200=OK, 404=absent, 500=erreur serveur. HTTP sans état = chaque requête est indépendante.
3 / 5
NSI
Client-serveur et cookies
Définition
Architecture dans laquelle le client (navigateur) envoie des requêtes et le serveur répond. HTTP étant sans état, les cookies permettent de maintenir une session : petit fichier texte stocké côté client, envoyé automatiquement avec chaque requête au même domaine. Les sessions serveur stockent les données sensibles côté serveur.
Question probable
Comment les cookies et les sessions permettent-ils de palier le caractère sans état de HTTP ?
Réponse
→HTTP est stateless : le serveur ne se souvient pas des requêtes précédentes. Les cookies compensent ce manque. Lors de la connexion, le serveur envoie `Set-Cookie: session_id=abc123`. Le navigateur stocke ce cookie et l'inclut dans chaque requête suivante (`Cookie: session_id=abc123`). Le serveur identifie l'utilisateur via ce cookie. Les données sensibles (nom, panier) sont stockées côté serveur dans une session associée à l'identifiant. Attributs importants : `Secure` (HTTPS uniquement), `HttpOnly` (inaccessible au JavaScript → protection XSS), `SameSite` (protection CSRF).
Mnémotechnique
Cookie = mémoire du navigateur. Sans état HTTP → cookies pallient. HttpOnly = protection XSS. Secure = HTTPS uniquement. "Cookies = badge d'identité du navigateur."
4 / 5
NSI
Sécurité web
Définition
Principales failles : injection SQL (insertion de code SQL dans un formulaire), XSS — Cross-Site Scripting (injection de scripts dans une page vue par d'autres utilisateurs). Protections : requêtes préparées (SQL), échappement des entrées (XSS), HTTPS/TLS pour le chiffrement.
Question probable
Expliquez les attaques par injection SQL et XSS, et comment s'en protéger.
Réponse
→Injection SQL : si un formulaire passe `' OR '1'='1` dans une requête SQL non protégée, l'attaquant peut accéder à toutes les données. Protection : utiliser des requêtes préparées (`cursor.execute("SELECT * FROM users WHERE id = ?", (id,))`). XSS : l'attaquant injecte du JavaScript malveillant (``) dans une page. Si un autre utilisateur charge cette page, son cookie est volé. Protection : échapper les caractères spéciaux (< → <), politique CSP (Content Security Policy), attribut HttpOnly sur les cookies. HTTPS protège contre l'interception (man-in-the-middle).
`) dans une page. Si un autre utilisateur charge cette page, son cookie est volé. Protection : échapper les caractères spéciaux (< → <), politique CSP (Content Security Policy), attribut HttpOnly sur les cookies. HTTPS protège contre l'interception (man-in-the-middle)."}}]}]