Discussion :

[locus]

Bonjour,

j'essaie de faire un petit point (un papier pré-projet) sur la sécurisation d'une application sous .net avec c#.
J'aimerai savoir si vous aviez des idées de pistes et où me renseigner (hors MSDN).
L'objectif n'est pas de créer un programme ultra-sécurisé mais un logiciel offrant une meilleure sécurité de départ.

Pour l'instant j'ai fait pas mal de choses:

obfuscation ( pas très intéressant)
CAS
sécurité impérative/déclarative
System.Security (crypto, permission, autorisation, securestring, protecteddata, authentification, principal, accesscontrol, claims, policy, evidence, securityexception, sécurisation du thread, SSLStream, logs
manifeste
les outils .Net
gestion des rôles
SRP
Stratégie de sécurité du CLR ( depuis abandonné par MS)
les niveaux de confiance
les modéles de transparence
signature d'assembly
Applocker
Chiffrement des éléments de configuration
Nom Fort
pas mal de recommandations (comme bloquer toute tentative de d'utiliser le désassembleur de visual studio)

Auriez-vous des idées?

Merci

[theMonz31]

salut

un truc comme ça :

https://code.msdn.microsoft.com/wind...stCLR-e6581ee0

En gros, faire un programme C++ dont une des ressources est ton code .Net (avec les assembly) et faire en sorte qu'au démarrage, ton programme
C++ va mettre en place tout le programme .Net et le lancer...

Ca pourrait être une solution assez simple puisqu'au final, ton programme C++ ne sera pas désassemblable facilement !!!

[locus]

Intéressant. je vais étudier cette piste de plus près.
merci

[wallace1]

Salut,

dans le même genre mais beaucoup plus récent il existe :

https://csnative.codeplex.com/
https://msdn.microsoft.com/fr-fr/vst...netnative.aspx (de la ressource d'infos : https://social.msdn.microsoft.com/Se...mark=true&ac=4)

A+

[theMonz31]

ah le Net Native

Ca sera parfait quand (si) ça marche un jour pour les applications bureaux (WPF ou winforms)...

[locus]

Bonjour,

personnellement, je trouve que vos liens sont intéressants. J'ai appris des choses (merci ) Je ne connaissais pas le .NET Native et j'attends de voir si un jour je pourrais m'en servir pour les performances (je me demande, par curiosité, si c'est efficace avec les websockets).

Microsoft semble avoir beaucoup plus planché sur la sécurité version admin des applications un peu au détriment de la partie développement (c'est mon impression). Résultat, trop d'éléments dans le code nécessite le SRP, la stratégie de sécurité du CLR pour le CAS ou la gestion de la sécurité par les rôles. C'est pas mal lorsque l'on développe un outil avec une admin sys/réseaux présente mais cela complexifie l'intégration et cela demande des ressources importantes.