La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

ASP.NET 2.0 et la sécurité Nicolas CLERC Consultant Associé

Présentations similaires


Présentation au sujet: "ASP.NET 2.0 et la sécurité Nicolas CLERC Consultant Associé"— Transcription de la présentation:

1 ASP.NET 2.0 et la sécurité Nicolas CLERC Consultant Associé

2 Tekigo 73 chemin des Essarts Brindas +33 (0) Nicolas CLERC Consultant Associé Télécharger les codes sources des démos sur notre site Web

3 Agenda Gestion des utilisateurs Lauthentification des utilisateurs Memberships & Roles Les nouveaux contrôles web associés Sécuriser son application Web Techniques avancées Le suivi de fonctionnement

4 Agenda Gestion des utilisateurs Lauthentification des utilisateurs Memberships & Roles Les nouveaux contrôles web associés Sécuriser son application Web Techniques avancées Le suivi de fonctionnement

5 Authentification & Autorisation Reconnaissance de lutilisateur Sécurisation de laccès aux éléments dune application Par utilisateurs Par rôles Support de plusieurs modes dauthentification Formulaire (webform) WindowsPassport API standard Les applications sont indépendantes du mode dauthentification Configuré dans le fichier Web.config Compatibilité ascendante avec.NET 1.1

6 Authentification La classe FormsAuthentication Accès aux informations du web.config RedirectFromLoginPage() SignOut()…()

7 Authentification Les nouveautés dASP.NET 2.0 : cookieLess (sans les pépites de chocolat) UseCookie : toujours AutoDetect : cookie si supporté UseDeviceProfile : cookie si supporté mais pas de vérification (utilisation de lidentité du navigateur) UseUri : jamais defaultUrl : default.aspx domain : domaine de validité du cookie Utilisateur anonyme application Web dadministration de la sécurité …

8 La sécurité avec ASP.NET 1.1 Stockage Fonctionnalité Affichage Sécurité daccès aux pages API de programmation

9 La sécurité avec ASP.NET 2.0 Stockage Fonctionnalité Affichage Sécurité daccès aux pages API de programmation

10 Démonstration Mise en œuvre de lauthentification

11 Le ptit truc Attention au nom du cookie si plusieurs applications sécurisées hébergées sur le même serveur risque de télescopage/écrasement Ne protège que les éléments gérés par lextension ISAPI ASP.NET de IIS.aspx,.asmx,.ashx, … mais pas :.html,.asp

12 Membership Gestion des listes dutilisateurs Indépendant du stockage Simplification de laccès et de la manipulation des informations utilisateurs Vérification didentité Gestion/modification des mots de passe Création/modification/suppression dutilisateur Recherche Péremption de la connexion System.Web.Security.Membership

13 Rôles Cœur de lAPI déjà présent dans.NET 1.1 mais pas lenrobage … pas mal de ligne de code à écrire. User.IsInRole() Dans ASP.NET 2.0 Chargement et persistance automatique des rôles affecté à lutilisateur Indépendant du stockage (Provider) Fonctions de modification/consultation des rôles et des utilisateurs associés

14 La sécurité avec ASP.NET 2.0 Stockage Fonctionnalité Affichage Sécurité daccès aux pages API de programmation Membership Provider Roles application web dadministration

15 Démonstration Membership et rôles

16 Les contrôles Web Un ensemble de contrôles web prêt à intégrer dans vos pages Login, Création dun utilisateur, Modification/Récupération du mot de passe Affichage des informations dauthentification Paramétrable & personnalisable

17 La sécurité avec ASP.NET 2.0 Stockage Fonctionnalité Affichage Sécurité daccès aux pages API de programmation Membership Provider Roles Site web dadministration Contrôle web de gestion de la sécurité login Création user Changement mot de passe Affichage

18 Démonstration Les nouveaux contrôles

19 Agenda Gestion des utilisateurs Lauthentification des utilisateurs Memberships & Roles Les nouveaux contrôles web associés Sécuriser son application Web Techniques avancées Le suivi de fonctionnement

20 Saisie des données Injection de code SQL toujours utiliser des requêtes paramétrées toujours utiliser des requêtes paramétrées SQL Server : paramètre nommé Access : paramètre par position : ?

21 Linjection de code SQL SELECT COUNT (*) FROM Users WHERE UserName=Jeff AND Password=imbatman Une requête normale SELECT COUNT (*) FROM Users WHERE UserName= or 1=1-- AND Password= Une requête frauduleuse "or 1=1" toujours vrai"--" Commentaire SELECT COUNT (*) FROM Users WHERE UserName=+param1+ AND Password=+param2+ Code source

22 Saisie des données Injection de code HTML / Javascript Cross Site Scripting Ne pas autoriser la saisie de code HTML Ne pas autoriser la saisie de code HTML Toujours valider les données de lutilisateur

23 Validation de la saisie Toujours valider les informations de lutilisateur : Facultativement au niveau du navigateur ergonomie, optimisation Impérativement au niveau serveur sécurité Bibliothèque de contrôle de validation Puissante : expression régulière, … Sécurisé : optionnellement client MAIS impérativement serveur Extensible Groupe de validation permet de définir des contrôles optionnels (non bloquant)

24 Démonstration Validation de saisie

25 Agenda Gestion des utilisateurs Lauthentification des utilisateurs Memberships & Roles Les nouveaux contrôles web associés Sécuriser son application Web Techniques avancées Le suivi de fonctionnement

26 Filtrage des données « Pour vivre heureux, vivons cachés. » Utilisation des HTTPModule Limiter les informations renvoyées au navigateur Filtrer les informations envoyées par le navigateur obfusquer le code renvoyé au navigateur timestamp HTTPHandler : nouvelle extension à gérer

27 Chaine dappel ASP.NET Serveur WEB IIS ASP DevServer ASP.NET RUNTIME HTTP Handler.ASPX trace.axd vscache.axd HTTP Module Page.ASPX

28 Démonstration HTTP Module

29 Agenda Gestion des utilisateurs Lauthentification des utilisateurs Memberships & Roles Les nouveaux contrôles web associés Sécuriser son application Web Techniques avancées Le suivi de fonctionnement

30 Le Monitoring Utilisation des compteurs de performances associés aux applications web Créer des compteurs de performances « applicatif » La « Health Monitoring API » Surveillance Remontée automatique de problèmes potentiels Config par défaut dans le machine.config Intégrations aux outils de monitoring Microsoft Operation Manager (MOM) Windows Management Instrumentation

31 Démonstration Monitoring

32 Microsoft France 18, avenue du Québec Courtaboeuf Cedex


Télécharger ppt "ASP.NET 2.0 et la sécurité Nicolas CLERC Consultant Associé"

Présentations similaires


Annonces Google