Discussion :

[I_Pnose]

Bonjour à tous.

Voilà, j'ai de nouveau une question bête à vous soumettre. Où placez-vous vos applications WCF ?

J'aimerais protéger la logique métier de mes services web, or actuellement ça ne me semble pas possible. Je m'explique (et je précise en passant que je suis un novice avéré en ce qui concerne la prog web, l'hébergement et tout le tsoin tsoin) :
J'ai une page aspx qui contient une appli silverlight (httpdocs/mapage.aspx et httpdocs/ClientBin/monAppliSilverlight.xap). Bon je ne vous ferez pas l'affront de vous demander comment protéger mon .xap, ce n'est pas prioritaire (et je ne pense pas que ce soit possible). Par contre tous les appels sensibles aux bases de données et autres traitements se font via des applications WCF dont les dll de sortie sont placées ici : httpdocs/bin/monService.dll.
Je ne veux pas cela. Ne serait-ce pas possible de placer ces dll ailleurs (dans cgi-bin par exemple qui est au même niveau que httpdocs, et donc pas accessible au commun des mortels... peut-être).

Vous l'avez compris je ne suis pas doué. Une petite aide ne serait pas malvenue.

[Nathanael Marchand]

Qu'est ce qui te gène dans cette arborescence? Tu as l'air d'être sous mono non? Je ne sais pas comment c'est la dessus mais en tout cas sous Windows avec IIS, il est impossible de voir les fichiers .dll ou .config. Il n'ya pas de problèmes de sécurité.
De la même manière, tu dois interdire (si ca n'est dejà fait) d'accéder à ces ressources (via .htaccess sur Apache par exemple).

[I_Pnose]

Nan je suis bien sur un IIS ^^ (via plesk).

Le truc qui me gène c'est qu'actuellement si on tape l'adresse de la dll (ou du xap), genre "www.monsite.fr/bin/monservice.dll", on peut télécharger la dll en toute impunité (et donc voir les source, .net oblige).

Et donc via l'interface plesk, je n'arrive pas à caler les bons droit sur mon dossier bin (ou sur mon fichier dll) ; j'ai beau essayer de paramétrer mes droits, aussitôt que j'ai cliqué sur valider, la config par défaut refait surface (à savoir "contrôle total").

[I_Pnose]

Donc c'est officiel (façon de parler), je peux changer les droits des dossiers mais aucunement des fichiers. Du coup ça ne m'avance pas du tout du tout. Ma dll est toujours téléchargeable, et si je la mets ailleurs que dans /bin mon service ne fonctionne plus.
Je trouve ça aberrant qu'on ne puisse pas mettre les dll des services ailleurs que dans son fichu dossier bin généré par défaut.

Je me suis rarement pris autant la tête, et c'est blasant =/

[Nathanael Marchand]

Bon ben j'ai le plaisir de t'annoncer que ton IIS est très mal configuré!
Il faut que dans ton applicationhost.config section configuration/system.webServer/security/requestFiltering tu aies quelque chose comme ca:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
<hiddenSegments applyToWebDAV="true">
    <add segment="web.config" />
    <add segment="bin" />
    <add segment="App_code" />
    <add segment="App_GlobalResources" />
    <add segment="App_LocalResources" />
    <add segment="App_WebReferences" />
    <add segment="App_Data" />
    <add segment="App_Browsers" />
</hiddenSegments>

Ca signifie que ces urls seront masqués à la navigation (et que donc personne ne téléchargera le contenu du bin!).

Mais bon, ca me fait un peu peur pour toi si un truc si bateau est mal configuré, d'autant que ca c'est la config par défaut

[I_Pnose]

Il est très tentant ton "applicationhost.config", je le veux... =D
... reste à savoir si j'y ai accès (serveur mutu oblige). Il est censé être où ?