Discussion :

[Etamyste]

Bonjour!

Je dois concevoir une application Web J2ee seule mais je suis développeuse junior. Il y aura plusieurs profils utilisateur. Le but de l'application est de permettre d'uploader, consulter et télécharger des fichiers classés dans des dossiers et sous-dossiers, et de les télécharger en les ayant au préalable stockés dans des dossiers et sous-dossiers. Ces fichiers sont tous répertoriés en base de données. Pour accéder au téléchargement il faudra effectuer un règlement en ligne.

Il n'y aura qu'une dizaine de vue.
Je pense utiliser Spring / Spring MVC / Spring Security / Hibernate / JUnit / Log4J.

J'aurais quelques questions si vous voulez bien me conseiller :

1 - Pour gérer tout ce qui a trait à la sécurité... Je ne m'y connais vraiment pas beaucoup, j'aurais voulu vous demander des pistes. Pour filtrer les accès aux pages j'utilise Spring Security que je connais un petit peu.
a - Est-ce que Spring Security est vraiment suffisant en termes d'accès aux pages? Ca ne peut pas être hacké facilement?
b - Est-ce que ça protège uniquement l'accès aux pages ou je peux m'en servir aussi pour protéger l'accès aux dossiers sur le serveur?
c - Quels frameworks / technologies me conseillez-vous d'utiliser pour couvrir tous les aspects sécurité, en complément / remplacement de Spring Security (en particulier le règlement en ligne)? Si vous pouvez me donner les noms comme ça j'approfondirai. Il me semble qu'il y a le https, le ssl, les certificats... Mais je ne vois pas trop qui fait quoi et j'ai peur de la redondance.

2 - J'ai travaillé auparavant avec JSF et les composants graphiques étaient un peu pauvres, on les avait enrichis avec Rich faces. Pouvez-vous me dire comment obtenir des composants riches avec du Spring MVC? Il y a une bibliothèque équivalente à JSF?

3 - Pour la gestion des fichiers / sous-dossiers et la corrélation avec la bdd, est-ce que de la même façon vous me conseilleriez une techno particulière?


Voilà, je vous remercie de m'avoir lue et j'espère que vous voudrez bien m'apporter quelques éléments!

Etamyste

[pvoncken]

Bonjour,

beaucoup de sujets dans ce poste.

1 - Https
Https avec des certificats va te permettre de sécuriser les flux de données entre le client et le serveur.
C'est au niveau d'Apache en général qu'on configure ca.
Https est recommandée pour protéger les informations sensibles comme le numéro de carte bleu.
Donc si tu as des transactions financière de ce type, tu dois utiliser Https.

2 - SpringSecurity
Tu n'est pas obligé de l'utiliser, mais il va te fournir des mécanismes de sécurité clé en main pour gérer l'authentification par exemple.
C'est intéressant de l'utiliser, si tu le connais déjà un peu je t'encourage dans cette voie.

3 - Sécuriser l'application
Si tu souhaite sécuriser ton application tu dois le faire avant tout à la "main". En gros, la règle c'est de faire attention aux données qui arrive du client. Tous ce qui arrive du client doit être testé.

Par exemple, si tu utilise des variables que tu injecte directement dans une requête Sql que tu gère toi même : Attention, c'est un trou de sécurité.

Tu dois tester si la variable que tu reçois correspond à ce que tu es sensé récupérer.

en utilisant Hibernate, tu vas avoir un certain nombre de protection si tu utilise des requêtes Hql par exemple. Hibernate va tester un certain nombre de choses.

Difficile de donner des conseils plus précis car le test des variables va dépendre du typage des variables.

Cependant tu peux utiliser des outils pour vérifier le niveau de sécurité de ton application comme yasca par exemple : http://sourceforge.net/projects/yasca/