Les CSRF sont toujours efficaces, et HTML5 accroît même l’impact de cette attaque vieille comme le Web. Les IPS peuvent toujours être contournés, et la faille réside toujours dans l’interprétation des cas particuliers des réseaux. Dans les deux cas les premiers travaux ont plus de 10 ans, et dans les deux cas le constat est qu’aujourd’hui aucune solution n’est encore réellement efficace.
Mais il reste surtout un cas non-résolu: cette volonté de créer des applications vulnérable. Les applications mobiles reproduisent les erreurs du passé: trafic en clair non validation des certificats SSL, les mécanismes de génération d’aléa se basent encore bien souvent sur un secret trivial ou par défaut. Une véritable provocation de nos jours.