Sécurité dans les applications ASP.NET

Habituellement, un site Web ASP.NET est accessible par toute personne qui se connecte au serveur qui héberge via un réseau local ou Internet. Bien que cette situation est idéale pour une variété d'applications Web, mais il n'est pas toujours le choix approprié du projet (par exemple, un site e-commerce a comme condition préalable à la sécurité des transactions financières effectuées par ses utilisateurs, ce qui n'est pas favorisé par cette accessibilité) .

ASP.NET fournit un modèle de sécurité pour la protection des applications Web puissantes et profondément souple, mais peut commencer à créer une certaine confusion en raison des différents niveaux qu'elle comporte.

La plupart des travaux d'un programmeur de gérer la sécurité des applications web est d'écrire du code, mais pas dans la détermination des endroits appropriés pour la mise en œuvre des stratégies de sécurité différentes. La première étape est donc de décider quels secteurs exigent l'application de contrôles de sécurité et ce qui doit être protégé.

La notion de sécurité n'est pas complexe, mais englobe différents aspects et niveaux et ainsi finit souvent par être considérée comme complexe. Considérons, par exemple, un site e-commerce qui permet aux utilisateurs de visualiser les résumés de vos commandes récentes. La première ligne de défense que d'un site comme celui-ci est de gérer la procédure de connexion, par lequel chaque utilisateur est identifié, avant qu'ils ne puissent voir leurs données. Ceci est juste l'une des couches de sécurité qui doit gérer le site, car une autre, par exemple, la protection des bases de données contenant des données sensibles et plus de protection des transactions financières (en utilisant le cryptage). De cet exemple simple que vous pouvez imaginer la variété de choses à considérer.

Lors de la conception d'une application web est donc opportun d'envisager les différents scénarios d'attaque dans laquelle les mêmes peuvent être impliqués, mais il est très difficile d'identifier à l'avance tous. Pour cette raison, il est conseillé de fractionner la sécurité à plusieurs niveaux.

Dans le cadre des demandes d'applications web sont traitées d'abord par le serveur Web IIS, qui examine le type de fichier. Si le type est valable pour serveur ASP.NET transmet la demande afin qu'elle soit traitée.

L'image suivante (tirée du site de Microsoft) illustre ces étapes

Comme vous pouvez voir le client Web et les applications ASP.NET interagir avec le serveur IIS et il détermine si le client demande peut venir ou non des applications. Le système d'exploitation est d'autre part interagit avec les applications (via le. NET Framework), à la fois avec le serveur IIS. Dans ce schéma, vous pouvez appliquer la sécurité à plusieurs points.

• <<
• 1
• 2
• 3
• 4
• 5
• >>