Discussion :

[Pelote2012]

Bonjour,

Je me pose une question sur la sécurité.
Nativement avec l'ASP.NET, il y a un control du context, comme ça si un petit marrant essaie de modifier à la volée des infos, le controleur capte qu'il y a une différence entre l'original et la page envoyé. ça fait un trap.

Maintenant, avec jquery, si je modifie mon context, et envoie ma requête à ma webmethod ... je n'ai plus ce control, ce qui ouvre la porte à des actions non autorisés en changeant un Id par exemple.

Comment peut-on se prémunir contre cela?
J'ai regardé sur google et je n'ai pas du taper les bons mots clés, car je n'ai rien trouvé sur ça.

[Bovino]

C'est tout simplement la partie serveur qui est la seule à pouvoir vérifier la validité des données.
Si ça ne peut pas être fait nativement, alors c'est à toi de vérifier que les données reçues correspondent à celles attendues...

[SpaceFrog]

Je ne comprends pas comme context peut fonctionner avec asp.net, un simple coup de tamper data et les infos peuvent de toute façon etre modifiées à la volée.

[Pelote2012]

Merci pour vos réponses rapides

Je sais bien que la sécurité absolue n'existe pas... Mais l'idée est de bloquer un minimum

Peut-être avez vous des conseils.

Imaginons un cas classique

j'ai un répéteur avec une liste de personne, mais suivant les droits du user connecté, je peux ou non voir les infos sur le clic d'un bouton.
Je ne voit pas comment la partie serveur peut faire pour vérifier. Quoi qu'il arrive, je dois mettre mes infos sur ma page en

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

input type hidden

(Id user ...) et n'importe qui peut les modifier ou provoquer l'appel de ma fonction ajax avec les bonnes infos et ma webmethod n'y verra que du feu

[Bovino]

Heu... mettre un id utilisateur dans un input hidden, c'est pas particulièrement l'idée de l'année...
Pour ça, tu as les sessions qui permettent un meilleur contrôle.

D'autre part, je ne comprends pas en quoi faire une requête AJAX empêche la mise en place de contrôles côté serveur qui existent pour les autres requêtes HTTP.

Il me semble qu'ASP.Net sait gérer les requêtes AJAX donc il n'y a aucune raison (je veux dire techniques ) pour que les "control du context" (sic...) ne soient pas possibles !
Une requête HTTP est une requête HTTP, la partie serveur de ton code ne doit pas être limité par le fait que la requête provient d'AJAX ou d'un simple lien.

[Pelote2012]

tu as raison , mieux vaut utiliser

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

HttpContext.Current.Session("eee")

Mais ce que je ne voit pas c'est comment faire pour associer une action à une vérification. Utiliser un Tocken par action. Et comment associer ce tocken à l'action... Aurais-tu un exemple simple, pour que je comprenne?

[SpaceFrog]

Il est eventuellement possible de compliquer la possibilité de tampering, mais je ne connais pas de moyen radical pour l'éliminer.
Il est a mon avis impossible d'empecher une emulation de soumission de form, ce que semble confirmer ce post http://stackoverflow.com/questions/4...x-process-page

Il existe des addons qui permettent bloquer les données après soumission du form , directement les données avant leur envoi puis libérer l'envoi après modification.