IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Dotnet Discussion :

[1.1] Quelle politique de sécurité /Pourquoi dans le cadre d'un déploiement d'appli ?


Sujet :

Dotnet

  1. #1
    Rédacteur


    Profil pro
    Inscrit en
    Janvier 2003
    Messages
    7 171
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Janvier 2003
    Messages : 7 171
    Billets dans le blog
    1
    Par défaut [1.1] Quelle politique de sécurité /Pourquoi dans le cadre d'un déploiement d'appli ?
    Salut,
    dans le cadre d'un projet de développement, l'organisation dans laquelle je suis n'a pas encore d'approche sur la sécurité concernant le FX 1.1.

    Ne maîtrisant pas suffisament cet aspect de dotNET j'aimerais savoir quels sont les risques de livrer une application dans ce contexte ?
    Et s'il en existent est-il possible de les anticiper ou cela n'a pas de sens dans ce contexte ?
    Et ceci en supposant qu'une politique soit mise en place ultérieurement.
    Doit-on impérativement gérer les CAS coté application ?

    Merci

  2. #2
    Membre Expert
    Avatar de Piotrek
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Mars 2004
    Messages
    869
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : Mars 2004
    Messages : 869
    Par défaut
    Salut

    C'est vaste comme question

    Theoriquement, il faut commencer par auditer les risques potentiels.

    Securite ca peut concerner:
    - Une intention de nuire externe a la societe (vol des sources, vol des donnees, deni de service etc...)
    - Une utilisation frauduleuse en interne (gestion de droits faible ou inexistante, corruption intentionnelle des donnees...)

    Il y a des aspects standards, des regles de bases voir meme de bon sens qu'on peut appliquer en tant que concepteur d'appli. Si il y a soucis c'est ce que le juge demandera a l'expert C'est pas parce qu'il s'en fout qu'il faut s'en foutre.

    Cependant, le requis de base c'est qu'il existe une authentification fiable chez ton client.

    Liens
    Bien sur:
    http://msdn.microsoft.com/library/de...etsecurity.asp
    ....

    A voir les checklists:
    http://msdn.microsoft.com/library/de.../pagck0003.asp
    ...

    et guidelines:
    http://msdn.microsoft.com/library/de...elines0003.asp
    ...

  3. #3
    Rédacteur


    Profil pro
    Inscrit en
    Janvier 2003
    Messages
    7 171
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Janvier 2003
    Messages : 7 171
    Billets dans le blog
    1
    Par défaut
    Salut,

    Citation Envoyé par Piotrek
    C'est vaste comme question
    Oui j'en suis conscient

    C'est une lacune de mon coté et c'est un problème organisationnel dans la structure dans la laquelle je suis aujourd'hui mais cette problèmatique devrait être, à mon avis, la première chose que l'on apprend lors de l'apprentissage de dotNET.
    Citation Envoyé par Piotrek
    - Une utilisation frauduleuse en interne (gestion de droits faible ou inexistante, corruption intentionnelle des donnees...)
    Je pensais + à ce pb, comme c'est une appli trés sensible j'essaie d'anticiper.
    Citation Envoyé par Piotrek
    Il y a des aspects standards, des regles de bases voir meme de bon sens qu'on peut appliquer en tant que concepteur d'appli.
    Oui je suis d'accord, pourtant je pense être doté d'un minimum de bon sens mais je reste pour l'instant dans le flou.
    Je te remercie pour ta réponse, je vais consulter les liens cités
    Citation Envoyé par Piotrek
    Cependant, le requis de base c'est qu'il existe une authentification fiable chez ton client.
    Peux-tu préciser ce point ?
    Car de mon coté, et pour le moment, la seule chose qui me semble fiable c'est l'inconnu

  4. #4
    Membre Expert
    Avatar de Piotrek
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Mars 2004
    Messages
    869
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : Mars 2004
    Messages : 869
    Par défaut
    La qualite de l'authentification est primordiale. Si tu cree et gere l'authentification dans ta propre appli, c'est facilement contournable.

    Donc si le reseau de ton client utilise une authentification windows centralisee c'est deja mieux car tu peux t'appuyer dessus

    Apres, si LUI gere mal cette authentification (avec des mots de passe faibles entre autres) et bien cela devient SON probleme (a moins que ca soit aussi toi l'administrateur reseau, dans ce cas c'est toujours ton probleme: il faut un minimum)

    Voila ce que je voulais dire

    Au niveau de l'application a proprement dit, normalement, en ...
    - Compartimentant les fonctionnalites en fonction de roles (c'est donc mieux avec l'authentification Windows)
    - Cachant ce qu'il y a a cacher (cryptage ou obfuscation par exemple)
    - Auditant en permanence les fonctionnalites critiques et leurs donnees (nums de CB, Ribs)

    ... et ce, dans le cadre d'un reseau securise (firewall et antivirus, et ca c'est son probleme) t'as la base

    Bien sur il faut un audit preliminaire pour savoir ce qui est tres important et ce qui l'est moins (pour un cabinet d'audit la valeur est dans la liste des clients).

    Si c'est vraiement la cata chez ton client, profite-en pour le sensibilier a la securite et pour accessoirement lui vendre une mise a niveau

  5. #5
    Rédacteur


    Profil pro
    Inscrit en
    Janvier 2003
    Messages
    7 171
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Janvier 2003
    Messages : 7 171
    Billets dans le blog
    1
    Par défaut
    Citation Envoyé par Piotrek
    Si c'est vraiement la cata chez ton client, profite-en pour le sensibilier a la securite et pour accessoirement lui vendre une mise a niveau
    De ce coté là comme c'est un mileu bancaire pas de pb, mais sur la partie .dotnet pour le moment c'est le flou total.

    Je te remercie.

    ps :
    Comme je suis dans contexte .net 1.1, voici un lien contenant les documents cités pour les 2 versions :
    http://msdn.microsoft.com/library/de...listsindex.asp

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. UML : Qui s'en sert ? Pourquoi ? Dans quels cas ? Où ?
    Par Matthieu Brucher dans le forum UML
    Réponses: 83
    Dernier message: 10/06/2013, 16h13
  2. [Sécurité] htaccess dans site dynamique
    Par gregius dans le forum Langage
    Réponses: 2
    Dernier message: 01/08/2006, 22h57
  3. Réponses: 7
    Dernier message: 12/07/2006, 10h24
  4. Politique de sécurité pour mes documents sur intranet
    Par aziza.bg dans le forum Sécurité
    Réponses: 2
    Dernier message: 27/06/2006, 14h22
  5. XMLRAD + Politique de sécurité Java / tomcat
    Par sch dans le forum XMLRAD
    Réponses: 1
    Dernier message: 01/06/2005, 14h24

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo