Sécurisation d'un site/application C#/ASP.net

**lou87** · 31/01/2011, 14h40

Bonjour,

Je ne savais pas dans quel forum poster ma question si c'était dans le forum C# ou ASP.NET.

Excusez moi si je me suis trompée de forum.

Bon, en faite je suis sur un projet, où j'ai créé une page permettant l'accès à l'application, et c'est fait en tout ce qu'il y a de plus basique avec une base de données, login et mot de passe.

Mais ce que je voudrais faire c'est que si une personne ne s'est pas logué, mais qu'elle réussisse à accéder à une autre page de l'application (par le biais d'une adresse URL), je voudrais qu'elle soit jeté du site ou encore qu'elle ne puisse tout simplement pas accéder à l'application via l'URL...

Avez vous une idée de comment je peux faire ça ?

J'ai vu qu'il y avait les méthodes Membership, les profils, rôles,...

Cependant j'aimerais savoir ce qui correspondrait le plus à mon problème.

Pour résumer : Si tu as le mot de passe tu accède à l'application, et si tu ne l'as pas tu ne dois pas pouvoir accéder à l'application de quelconque manière que ce soit.

En vous remerciant.

**girouxv** · 31/01/2011, 16h27

Membership si je ne me trompe pas ça te prends absolument une base de données sql.

Voilà ma solution:
Peut importe ton moyen d'authentification mets ton application dans un placeholder visible=false.

Si ta personne s'est authentifiée tu mets ton placeholder visible=true dans ton code behind.

Comme ça la personne voit ta page mais n'a pas accès à ton application.

**lou87** · 01/02/2011, 09h48

Bonjour,

Je vous remercie pour votre réponse.

Mais comment puis-je mettre ça en application, s'il vous plaît ?

Je pense qu'il faudra utiliser des variables "session", pour vérifier à chaque page s'il s'est authentifié...

Mais après comment utiliser le placeholder ?

En vous remerciant.

Edit :

Et que fait exactement placeholder quand le visible = false ?

(niveau visuel)

**Jean-Michel Ormes** · 01/02/2011, 11h00

Envoyé par lou87

Bonjour,

Je vous remercie pour votre réponse.

Mais comment puis-je mettre ça en application, s'il vous plaît ?

Je pense qu'il faudra utiliser des variables "session", pour vérifier à chaque page s'il s'est authentifié...

Bonjour,

Il te faut tout d'abord mettre en place le membership cf. ce lien MSDN : Using the SQLMemberShipProvider

Ensuite, pour vérifier qu'un user peut se connecter à ta page :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
if (Membership.ValidateUser(UserName.Text, Password.Text))
{
// Traitement
}
else
{
// Traitement
}

**girouxv** · 01/02/2011, 13h40

Si le placeholder est visible = false rien de ce qui est à l'interieur sera envoyé au client. Donc, 100% sécure. C'est simple à utiliser.

**calagan99** · 01/02/2011, 15h23

Envoyé par girouxv

Si le placeholder est visible = false rien de ce qui est à l'interieur sera envoyé au client. Donc, 100% sécure. C'est simple à utiliser.

C'est surtout extrêmement crado!
Quand tu ne veux pas qu'on te pique ta voiture, tu la fermes à clés, tu ne mets pas juste un drap blanc dessus

lou87, comme te le dis Jean-Michel Ormes, tu peux utiliser le provider de sécurité intégré du framework dotnet.
Il te permettra de gérer tes utilisateurs, de leur affecter des rôles, et de n'autoriser l'accès à certains répertoires ou pages de ton application qu'à certains users ou rôles.

Il s'agit d'une vraie solution de sécurité, pas d'une bidouille immonde vendue comme une solution miracle...

**girouxv** · 01/02/2011, 20h04

Ma réponse si tu savais lire calagan99 se situait après l'authentification.

je voudrais qu'elle soit jeté du site ou encore qu'elle ne puisse tout simplement pas accéder à l'application via l'URL

Une simple placeholder fait très bien la job. Et c'est très sécuritaire.

Quand tu ne veux pas qu'on te pique ta voiture, tu la fermes à clés, tu ne mets pas juste un drap blanc dessus

Un placeHolder c'est plus comme ne pas stationner ta voiture chez le voleur... ta parabole est simpliste. Si tu fermes à clés tu peux quand même te faire voler ta voiture.

**lutecefalco** · 01/02/2011, 21h30

Quand un user n'est pas authentifié, on le redirige vers la page de login, on ne cache pas le contenu de la page

**Vlad59** · 02/02/2011, 08h52

+1

**Jean-Michel Ormes** · 02/02/2011, 09h32

Entièrement d'accord avec @lutecefalco. On parle de sécurité d'une application et d'accès aux données de celle-ci.

**calagan99** · 02/02/2011, 09h33

Envoyé par girouxv

Une simple placeholder fait très bien la job. Et c'est très sécuritaire.

N'importe quoi!
Un visibale="false" sur un contrôle te paraît être une solution de sécurisation efficace ? Sérieusement ?

Envoyé par girouxv

Un placeHolder c'est plus comme ne pas stationner ta voiture chez le voleur... ta parabole est simpliste. Si tu fermes à clés tu peux quand même te faire voler ta voiture.

Oui, c'était volontairement simpliste! L'objectif étant de montrer la naïveté de ta proposition.

Le framework dotnet embarque en natif un provider de sécurité simple à mettre en oeuvre, adaptable et secure.
Pourquoi inventer la roue carrée ?

**lou87** · 03/02/2011, 15h19

Bonjour,

Je vous remercie tous pour vos réponses.

Donc je vais m'essayer au Membership.

Cependant je commence déjà à rencontrer des difficultés...

Je suis dans ma page web.config, et je viens d'y mettre du code, mais il me fait une erreur en soulignant "location".

Voici mon code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 <location path="chemin de ma page.aspx">
        <system.web>
          <authorization>
            <allow roles="administrateur" />
            <deny users="*" />
          </authorization>
        </system.web>
      </location>

Et voici l'erreur...

Avertissement 1 L'élément 'system.web' a un élément enfant non valide 'location'. Liste d'éléments possibles attendue : 'anonymousIdentification, authentication, authorization, browserCaps, clientTarget, compilation, customErrors, deployment, deviceFilters, globalization, healthMonitoring, hostingEnvironment, httpCookies, httpHandlers, httpModules, httpRuntime, identity, machineKey, membership, mobileControls, pages, processModel, profile, roleManager, securityPolicy, sessionPageState, sessionState, siteMap, trace, trust, urlMappings, webControls, webParts, webServices, xhtmlConformance, caching'.

Ça veut dire que <system.web></system.web> ne comprends pas <authorization></authorization>, c'est ça ?

En vous remerciant.

Bonne journée.

**calagan99** · 03/02/2011, 15h24

Peux-tu nous montrer ton fichier complet stp ?

**lou87** · 03/02/2011, 15h37

D'accord.

Voici le fichier au complet.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
<?xml version="1.0" encoding="utf-8"?>
 
<configuration>
 
 
    <configSections>
      <sectionGroup name="system.web.extensions" type="System.Web.Configuration.SystemWebExtensionsSectionGroup, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35">
        <sectionGroup name="scripting" type="System.Web.Configuration.ScriptingSectionGroup, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35">
          <section name="scriptResourceHandler" type="System.Web.Configuration.ScriptingScriptResourceHandlerSection, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" requirePermission="false" allowDefinition="MachineToApplication" />
          <sectionGroup name="webServices" type="System.Web.Configuration.ScriptingWebServicesSectionGroup, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35">
            <section name="jsonSerialization" type="System.Web.Configuration.ScriptingJsonSerializationSection, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" requirePermission="false" allowDefinition="Everywhere" />
            <section name="profileService" type="System.Web.Configuration.ScriptingProfileServiceSection, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" requirePermission="false" allowDefinition="MachineToApplication" />
            <section name="authenticationService" type="System.Web.Configuration.ScriptingAuthenticationServiceSection, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" requirePermission="false" allowDefinition="MachineToApplication" />
            <section name="roleService" type="System.Web.Configuration.ScriptingRoleServiceSection, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" requirePermission="false" allowDefinition="MachineToApplication" />
          </sectionGroup>
        </sectionGroup>
      </sectionGroup>
    </configSections>  
 
    <appSettings />
 
  <connectionStrings>
    <add name="connectString1" connectionString="Data Source=acsp2;Initial Catalog=DEV;User ID=id_admin;Password=mdp_admin"
      providerName="System.Data.SqlClient" />
    <!--Pour passer le code en mode production, décommenter la ligne suivante et commenter la ligne précédente-->
    <!--<add name="connectString1" connectionString="Data Source=acsp2;Initial Catalog=DEV_PREPROD;User ID=id_admin;Password=mdp_admin"
      providerName="System.Data.SqlClient" />-->
 
    <add name="DEVConnectionString" connectionString="Data Source=acsp2;Initial Catalog=DEV;Persist Security Info=True;User ID=id_admin;Password=mdp_admin"
      providerName="System.Data.SqlClient" />
  </connectionStrings>
 
    <system.web>
        <!-- 
            Définissez compilation debug="true" pour insérer des symboles 
            de débogage dans la page compilée. Comme ceci 
            affecte les performances, définissez cette valeur à true uniquement 
            lors du développement.
        -->
        <compilation debug="true">
 
          <assemblies>
            <add assembly="System.Core, Version=3.5.0.0, Culture=neutral, PublicKeyToken=B77A5C561934E089" />
            <add assembly="System.Data.DataSetExtensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=B77A5C561934E089" />
            <add assembly="System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" />
            <add assembly="System.Xml.Linq, Version=3.5.0.0, Culture=neutral, PublicKeyToken=B77A5C561934E089" />
          </assemblies>
 
        </compilation>
        <!--
            La section <authentication> permet la configuration 
            du mode d'authentification de sécurité utilisé par 
            ASP.NET pour identifier un utilisateur entrant. 
        -->
        <!--<authentication mode="Windows" />-->
        <authentication mode="Forms">
          <forms loginUrl="gestion_utilisateur.aspx"/>
        </authentication>
        <authorization>
          <deny users="?"/>
        </authorization>
 
      <location path="chemin mapage.aspx">
        <system.web>
          <authorization>
            <allow roles="administrateur" />
            <deny users="*" />
          </authorization>
        </system.web>
      </location>
 
 
 
 
 
      <!--
            La section <customErrors> permet de configurer 
            les actions à exécuter si/quand une erreur non gérée se produit 
            lors de l'exécution d'une demande. Plus précisément, 
            elle permet aux développeurs de configurer les pages d'erreur html 
            pour qu'elles s'affichent à la place d'une trace de la pile d'erreur.
 
        <customErrors mode="RemoteOnly" defaultRedirect="GenericErrorPage.htm">
            <error statusCode="403" redirect="NoAccess.htm" />
            <error statusCode="404" redirect="FileNotFound.htm" />
        </customErrors>
        -->
 
      <pages>
        <controls>
          <add tagPrefix="asp" namespace="System.Web.UI" assembly="System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" />
          <add tagPrefix="asp" namespace="System.Web.UI.WebControls" assembly="System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" />
        </controls>
      </pages>
 
      <httpHandlers>
        <remove verb="*" path="*.asmx" />
        <add verb="*" path="*.asmx" validate="false" type="System.Web.Script.Services.ScriptHandlerFactory, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" />
        <add verb="*" path="*_AppService.axd" validate="false" type="System.Web.Script.Services.ScriptHandlerFactory, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" />
        <add verb="GET,HEAD" path="ScriptResource.axd" type="System.Web.Handlers.ScriptResourceHandler, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" validate="false" />
      </httpHandlers>
      <httpModules>
        <add name="ScriptModule" type="System.Web.Handlers.ScriptModule, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" />
      </httpModules>
 
    </system.web>
 
    <system.codedom>
      <compilers>
        <compiler language="c#;cs;csharp" extension=".cs" warningLevel="4" type="Microsoft.CSharp.CSharpCodeProvider, System, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089">
          <providerOption name="CompilerVersion" value="v3.5" />
          <providerOption name="WarnAsError" value="false" />
        </compiler>
     </compilers>
    </system.codedom>
 
    <!-- 
        La section system.webServer est requise pour exécuter ASP.NET AJAX sur Internet
        Information Services 7.0.  Elle n'est pas nécessaire pour les versions précédentes d'IIS.
    -->
    <system.webServer>
      <validation validateIntegratedModeConfiguration="false" />
      <modules>
        <remove name="ScriptModule" />
        <add name="ScriptModule" preCondition="managedHandler" type="System.Web.Handlers.ScriptModule, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" />
      </modules>
      <handlers>
        <remove name="WebServiceHandlerFactory-Integrated" />
        <remove name="ScriptHandlerFactory" />
        <remove name="ScriptHandlerFactoryAppServices" />
        <remove name="ScriptResource" />
        <add name="ScriptHandlerFactory" verb="*" path="*.asmx" preCondition="integratedMode" type="System.Web.Script.Services.ScriptHandlerFactory, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" />
        <add name="ScriptHandlerFactoryAppServices" verb="*" path="*_AppService.axd" preCondition="integratedMode" type="System.Web.Script.Services.ScriptHandlerFactory, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" />
        <add name="ScriptResource" preCondition="integratedMode" verb="GET,HEAD" path="ScriptResource.axd" type="System.Web.Handlers.ScriptResourceHandler, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" />
      </handlers>
    </system.webServer>
 
    <runtime>
      <assemblyBinding xmlns="urn:schemas-microsoft-com:asm.v1">
        <dependentAssembly>
          <assemblyIdentity name="System.Web.Extensions" publicKeyToken="31bf3856ad364e35" />
          <bindingRedirect oldVersion="1.0.0.0-1.1.0.0" newVersion="3.5.0.0" />
        </dependentAssembly>
        <dependentAssembly>
          <assemblyIdentity name="System.Web.Extensions.Design" publicKeyToken="31bf3856ad364e35" />
          <bindingRedirect oldVersion="1.0.0.0-1.1.0.0" newVersion="3.5.0.0" />
        </dependentAssembly>
      </assemblyBinding>
    </runtime>
 
</configuration>

Merci ^_^

**Jean-Michel Ormes** · 03/02/2011, 15h42

Ta partie <location>,

déplace la hors de <system.web>.

**calagan99** · 03/02/2011, 16h06

Et édites ton post pour supprimer les infos sensibles de tes chaînes de connexion

**lou87** · 03/02/2011, 16h16

Merci ^_^, je vais modifier ça de suite.

Mais pour les informations sensibles, pouvez vous m'aider à les localiser, s'il vous plaît ?

Désolée je pensais les avoir enlevé.

Edit :

Ta partie <location>,

déplace la hors de <system.web>.

Comment ça ?

Désolée, si c'est vraiment bête comme question...

**calagan99** · 03/02/2011, 16h28

Envoyé par lou87

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
<?xml version="1.0" encoding="utf-8"?>

<configuration>


    <configSections>
      <sectionGroup name="system.web.extensions" type="System.Web.Configuration.SystemWebExtensionsSectionGroup, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35">
        <sectionGroup name="scripting" type="System.Web.Configuration.ScriptingSectionGroup, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35">
          <section name="scriptResourceHandler" type="System.Web.Configuration.ScriptingScriptResourceHandlerSection, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" requirePermission="false" allowDefinition="MachineToApplication" />
          <sectionGroup name="webServices" type="System.Web.Configuration.ScriptingWebServicesSectionGroup, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35">
            <section name="jsonSerialization" type="System.Web.Configuration.ScriptingJsonSerializationSection, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" requirePermission="false" allowDefinition="Everywhere" />
            <section name="profileService" type="System.Web.Configuration.ScriptingProfileServiceSection, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" requirePermission="false" allowDefinition="MachineToApplication" />
            <section name="authenticationService" type="System.Web.Configuration.ScriptingAuthenticationServiceSection, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" requirePermission="false" allowDefinition="MachineToApplication" />
            <section name="roleService" type="System.Web.Configuration.ScriptingRoleServiceSection, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" requirePermission="false" allowDefinition="MachineToApplication" />
          </sectionGroup>
        </sectionGroup>
      </sectionGroup>
    </configSections>  

    <appSettings />
  
  <connectionStrings>
    <add name="connectString1" connectionString="Data Source=acsp2;Initial Catalog=DEV;User ID=id_admin;Password=mdp_admin"
      providerName="System.Data.SqlClient" />
    <!--Pour passer le code en mode production, décommenter la ligne suivante et commenter la ligne précédente-->
    <!--<add name="connectString1" connectionString="Data Source=acsp2;Initial Catalog=DEV_PREPROD;User ID=id_admin;Password=mdp_admin"
      providerName="System.Data.SqlClient" />-->
    
    <add name="ADES_DEVConnectionString" connectionString="Data Source=acsp2;Initial Catalog=DEV;Persist Security Info=True;User ID=id_admin;Password=mdp_admin"
      providerName="System.Data.SqlClient" />
  </connectionStrings>
  
    <system.web>
        <!-- 
            Définissez compilation debug="true" pour insérer des symboles 
            de débogage dans la page compilée. Comme ceci 
            affecte les performances, définissez cette valeur à true uniquement 
            lors du développement.
        -->
        <compilation debug="true">

          <assemblies>
            <add assembly="System.Core, Version=3.5.0.0, Culture=neutral, PublicKeyToken=B77A5C561934E089" />
            <add assembly="System.Data.DataSetExtensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=B77A5C561934E089" />
            <add assembly="System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" />
            <add assembly="System.Xml.Linq, Version=3.5.0.0, Culture=neutral, PublicKeyToken=B77A5C561934E089" />
          </assemblies>

        </compilation>
        <!--
            La section <authentication> permet la configuration 
            du mode d'authentification de sécurité utilisé par 
            ASP.NET pour identifier un utilisateur entrant. 
        -->
        <!--<authentication mode="Windows" />-->
        <authentication mode="Forms">
          <forms loginUrl="gestion_utilisateur.aspx"/>
        </authentication>
        <authorization>
          <deny users="?"/>
        </authorization>

            <!--
            La section <customErrors> permet de configurer 
            les actions à exécuter si/quand une erreur non gérée se produit 
            lors de l'exécution d'une demande. Plus précisément, 
            elle permet aux développeurs de configurer les pages d'erreur html 
            pour qu'elles s'affichent à la place d'une trace de la pile d'erreur.

        <customErrors mode="RemoteOnly" defaultRedirect="GenericErrorPage.htm">
            <error statusCode="403" redirect="NoAccess.htm" />
            <error statusCode="404" redirect="FileNotFound.htm" />
        </customErrors>
        -->

      <pages>
        <controls>
          <add tagPrefix="asp" namespace="System.Web.UI" assembly="System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" />
          <add tagPrefix="asp" namespace="System.Web.UI.WebControls" assembly="System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" />
        </controls>
      </pages>

      <httpHandlers>
        <remove verb="*" path="*.asmx" />
        <add verb="*" path="*.asmx" validate="false" type="System.Web.Script.Services.ScriptHandlerFactory, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" />
        <add verb="*" path="*_AppService.axd" validate="false" type="System.Web.Script.Services.ScriptHandlerFactory, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" />
        <add verb="GET,HEAD" path="ScriptResource.axd" type="System.Web.Handlers.ScriptResourceHandler, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" validate="false" />
      </httpHandlers>
      <httpModules>
        <add name="ScriptModule" type="System.Web.Handlers.ScriptModule, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" />
      </httpModules>

    </system.web>

     <location path="chemin mapage.aspx">
        <system.web>
          <authorization>
            <allow roles="administrateur" />
            <deny users="*" />
          </authorization>
        </system.web>
      </location>

    <system.codedom>
      <compilers>
        <compiler language="c#;cs;csharp" extension=".cs" warningLevel="4" type="Microsoft.CSharp.CSharpCodeProvider, System, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089">
          <providerOption name="CompilerVersion" value="v3.5" />
          <providerOption name="WarnAsError" value="false" />
        </compiler>
     </compilers>
    </system.codedom>
    
    <!-- 
        La section system.webServer est requise pour exécuter ASP.NET AJAX sur Internet
        Information Services 7.0.  Elle n'est pas nécessaire pour les versions précédentes d'IIS.
    -->
    <system.webServer>
      <validation validateIntegratedModeConfiguration="false" />
      <modules>
        <remove name="ScriptModule" />
        <add name="ScriptModule" preCondition="managedHandler" type="System.Web.Handlers.ScriptModule, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" />
      </modules>
      <handlers>
        <remove name="WebServiceHandlerFactory-Integrated" />
        <remove name="ScriptHandlerFactory" />
        <remove name="ScriptHandlerFactoryAppServices" />
        <remove name="ScriptResource" />
        <add name="ScriptHandlerFactory" verb="*" path="*.asmx" preCondition="integratedMode" type="System.Web.Script.Services.ScriptHandlerFactory, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" />
        <add name="ScriptHandlerFactoryAppServices" verb="*" path="*_AppService.axd" preCondition="integratedMode" type="System.Web.Script.Services.ScriptHandlerFactory, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" />
        <add name="ScriptResource" preCondition="integratedMode" verb="GET,HEAD" path="ScriptResource.axd" type="System.Web.Handlers.ScriptResourceHandler, System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" />
      </handlers>
    </system.webServer>

    <runtime>
      <assemblyBinding xmlns="urn:schemas-microsoft-com:asm.v1">
        <dependentAssembly>
          <assemblyIdentity name="System.Web.Extensions" publicKeyToken="31bf3856ad364e35" />
          <bindingRedirect oldVersion="1.0.0.0-1.1.0.0" newVersion="3.5.0.0" />
        </dependentAssembly>
        <dependentAssembly>
          <assemblyIdentity name="System.Web.Extensions.Design" publicKeyToken="31bf3856ad364e35" />
          <bindingRedirect oldVersion="1.0.0.0-1.1.0.0" newVersion="3.5.0.0" />
        </dependentAssembly>
      </assemblyBinding>
    </runtime>

</configuration>

En vert dans ton fichier : les éléments sensibles à modidier (nom de serveur, passwords, etc.)

En rouge dans ton fichier : j'ai modifié la position de ton noeud "location". Tu verras qu'il est juste en dessous de la balise fermante du noeud "system.web"