Discussion :

[locus]

Bonjour,

je recherche des docs ou des tutoriels récents (même livres) sur comment sécuriser une application conçue en DotNET.

J'ai trouvé certains éléments sur MSDN et sur Développez (comme mettre en place une signature ou l'obsfucation) mais c'est assez ancien ou trop succinct. et sur des livres qui parlent de la sécurité, cela date de la framework 2.0.
Je m’intéresse à la sécurité aussi bien du côté du framework qu'à celle du code.

Sauriez-vous où je pourrais en trouver?

Merci d'avance pour toute information

[DotNetMatt]

Ta question est bien trop vague. Le terme "sécurité" peut être employé à beaucoup de niveaux et pour des choses totalement différentes. Si tu veux des réponses il va falloir redéfinir le cadre de ta question.

Ce que je peux déjà te dire, c'est que si pour toi "sécurité" veut dire empêcher quelqu'un de décompiler ton code, c'est peine perdue. Les techniques d'obfuscation vont rebuter le développeur du dimanche, mais celui qui voudra réellement accéder à ton code pourra le faire sans aucun problème (ca vaut pour les applications desktop (WPF, WinForms, etc.), pas pour le Web). On trouve aisément sur le Web des applications qui permettent de passer outre l'obfuscation. Elles ne sont pas parfaites, mais ca permet de récupérer le code.

Le mieux, ca reste d'isoler les parties critiques de ton code dans un web service. Ainsi personne ne pourra y accéder à part toi. La seule chose qu'il sera possible de faire, c'est d'intercepter les communications. Mais pour éviter cela on peut mettre en place des contre mesures : cryptographie, SSL, etc.

[locus]

Bonjour,

actuellement, mon intention est de faire le point sur la sécurité sur la framework et sur la partie code.
Comment utiliser CAS, ( j'ai vu le tuto), l'obfuscation, la signature... J'ai vu ces points.
l’obfuscation et son manque d'efficacité sur le long terme, je l'avais compris grâce au superbe tuto de ce site.
Mon objectif est surtout de comprendre les différents approches pour renforcer la sécurité dans un environnement .net.

Mais tout ce que je trouve est hélas obsolète ou incomplet.
Peu de choses sur la gestion déclarative/impérative, le code transparent... et tant d'autres.

Cordialement