Jeudi, 20 août 2009 Sécurité informatique Cégep de St-Hyacinthe Par Hugo St-Louis.

Slides:



Advertisements
Présentations similaires
Bratec Martin ..
Advertisements

NOTIFICATION ÉLECTRONIQUE
Fragilité : une notion fragile ?
SEMINAIRE DU 10 AVRIL 2010 programmation du futur Hôtel de Ville
Phono-sémantique différentielle des monosyllabes italiens
MAGGIO 1967 BOLOGNA - CERVIA ANOMALIES DU SOMMEIL CHEZ L'HOMME
droit + pub = ? vincent gautrais professeur agrégé – avocat
Transcription de la présentation:

Jeudi, 20 août 2009 Sécurité informatique Cégep de St-Hyacinthe Par Hugo St-Louis

Plan Sécurité informatique Sécurité sous.NET Sécurité sous ASP.NET Appliquer la sécurité

Topologie dune application web

Problèmes de sécurité Logique de lapplication – Logique de lapplication maison – Logique des applications externes Authentification Vérification des données usager – SQL injection – Cross site scripting (xss) Phishing (hameçonnage)

Solutions à la logique de lapplication Chaque attaque est différente Exploite la logique de lapplication Difficile à détecter Exemples: – Acheter un livre de -20$ – Créer un million dusagers et écrire des messages – Enlever le câble réseau au milieu dune partie déchec Exploite une faille – que) que) –

Solutions aux problèmes de sécurité Authentification – Canal de communication sécurisé (https)

Solutions aux problèmes dauthentification Authentification – Réauthentification à des intervalles sécurisés – Permission des usagers – Authentifier le client – Authentifier le serveur

Vérification des données (SQL Injection)

XSS)) Vérification des données (Cross site scripting (XSS))

Solution à la vérification des données Valider les données de lusager sur le serveur Web et/ou sur le serveur dapplications Limiter la taille de lentrée Refuser les caractères spéciaux \ / ; - Accepter seulement les caractères nécessaires Utiliser les SQL Stored Procedures Gérer les permissions sur la basé de données usagers, rôles, permissions

Phishing (hameçonnage)

Solution au Phishing (hameçonnage) Filtrer le spam Authentification du serveur Éduquer les utilisateurs

Sécurité sous.NET Autres techniques

Plan Sécurité informatique Sécurité sous.NET Sécurité sous ASP.NET Appliquer la sécurité

Sécurité sous.NET Lire le document et on en continue sur le même sujet la semaine prochaine

Sécurité sous.NET Deux approches pour la gestion des droits des utilisateurs Les rôles – Role de lutilisateur. Similaire aux groupes. Meta utilisateur. Cest le framework qui décide si un utilisateur a le droit deffectuer certaines actions. PrincipalPermission

Sécurité sous.NET Une gestion de la sécurité avant dexécuter du code – CAS Bloquer le code malveillant

Sécurité sous.NET Comment contrer la Décompilation sous.net – Déplacer le code vers les serveurs – Utiliser un obfuscateur de code – Compiler le code

Plan Sécurité informatique Sécurité sous.NET Sécurité sous ASP.NET Appliquer la sécurité

Sécurité sous ASP.NET

Fonctionnement de la sécurité – Authentification – Autorisation Rôles Permissions

Sécurité sous ASP.NET Fonctionnement de la sécurité

Sécurité sous ASP.NET Login par formulaire – Lier le code du formulaire avec la gestion des rôles, permission, etc. (web.config)

Sécurité sous ASP.NET Login par impersonnalisation – Base la validation par la gestion NTFS de lutilisateur et doit être filtré par IP dans IIS Intéressant pour les Intranets

Plan Sécurité informatique Sécurité sous.NET Sécurité sous ASP.NET Appliquer la sécurité