Discussion :

[Laurent Dardenne]

Salut,
dans le cadre d'un projet de développement, l'organisation dans laquelle je suis n'a pas encore d'approche sur la sécurité concernant le FX 1.1.

Ne maîtrisant pas suffisament cet aspect de dotNET j'aimerais savoir quels sont les risques de livrer une application dans ce contexte ?
Et s'il en existent est-il possible de les anticiper ou cela n'a pas de sens dans ce contexte ?
Et ceci en supposant qu'une politique soit mise en place ultérieurement.
Doit-on impérativement gérer les CAS coté application ?

Merci

[Piotrek]

Salut

C'est vaste comme question

Theoriquement, il faut commencer par auditer les risques potentiels.

Securite ca peut concerner:
- Une intention de nuire externe a la societe (vol des sources, vol des donnees, deni de service etc...)
- Une utilisation frauduleuse en interne (gestion de droits faible ou inexistante, corruption intentionnelle des donnees...)

Il y a des aspects standards, des regles de bases voir meme de bon sens qu'on peut appliquer en tant que concepteur d'appli. Si il y a soucis c'est ce que le juge demandera a l'expert C'est pas parce qu'il s'en fout qu'il faut s'en foutre.

Cependant, le requis de base c'est qu'il existe une authentification fiable chez ton client.

Liens
Bien sur:
http://msdn.microsoft.com/library/de...etsecurity.asp
....

A voir les checklists:
http://msdn.microsoft.com/library/de.../pagck0003.asp
...

et guidelines:
http://msdn.microsoft.com/library/de...elines0003.asp
...

[Laurent Dardenne]

Salut,

C'est vaste comme question

Oui j'en suis conscient

C'est une lacune de mon coté et c'est un problème organisationnel dans la structure dans la laquelle je suis aujourd'hui mais cette problèmatique devrait être, à mon avis, la première chose que l'on apprend lors de l'apprentissage de dotNET.

- Une utilisation frauduleuse en interne (gestion de droits faible ou inexistante, corruption intentionnelle des donnees...)

Je pensais + à ce pb, comme c'est une appli trés sensible j'essaie d'anticiper.

Il y a des aspects standards, des regles de bases voir meme de bon sens qu'on peut appliquer en tant que concepteur d'appli.

Oui je suis d'accord, pourtant je pense être doté d'un minimum de bon sens mais je reste pour l'instant dans le flou.
Je te remercie pour ta réponse, je vais consulter les liens cités

Cependant, le requis de base c'est qu'il existe une authentification fiable chez ton client.

Peux-tu préciser ce point ?
Car de mon coté, et pour le moment, la seule chose qui me semble fiable c'est l'inconnu

[Piotrek]

La qualite de l'authentification est primordiale. Si tu cree et gere l'authentification dans ta propre appli, c'est facilement contournable.

Donc si le reseau de ton client utilise une authentification windows centralisee c'est deja mieux car tu peux t'appuyer dessus

Apres, si LUI gere mal cette authentification (avec des mots de passe faibles entre autres) et bien cela devient SON probleme (a moins que ca soit aussi toi l'administrateur reseau, dans ce cas c'est toujours ton probleme: il faut un minimum)

Voila ce que je voulais dire

Au niveau de l'application a proprement dit, normalement, en ...
- Compartimentant les fonctionnalites en fonction de roles (c'est donc mieux avec l'authentification Windows)
- Cachant ce qu'il y a a cacher (cryptage ou obfuscation par exemple)
- Auditant en permanence les fonctionnalites critiques et leurs donnees (nums de CB, Ribs)

... et ce, dans le cadre d'un reseau securise (firewall et antivirus, et ca c'est son probleme) t'as la base

Bien sur il faut un audit preliminaire pour savoir ce qui est tres important et ce qui l'est moins (pour un cabinet d'audit la valeur est dans la liste des clients).

Si c'est vraiement la cata chez ton client, profite-en pour le sensibilier a la securite et pour accessoirement lui vendre une mise a niveau

[Laurent Dardenne]

Si c'est vraiement la cata chez ton client, profite-en pour le sensibilier a la securite et pour accessoirement lui vendre une mise a niveau

De ce coté là comme c'est un mileu bancaire pas de pb, mais sur la partie .dotnet pour le moment c'est le flou total.

Je te remercie.

ps :
Comme je suis dans contexte .net 1.1, voici un lien contenant les documents cités pour les 2 versions :
http://msdn.microsoft.com/library/de...listsindex.asp