Discussion :

[forinfo]

Bonjour ;
j' espere que le sujet est mieux placé.
je me demande si vous pouvez m'aider à propos des services web, je vous serez tres reconnaissante.
le probleme est:
je viens de terminer une application web developpée avec c# en asp.net .le but c'etait de la publier sur le reseau local de la société.- maintenant le boss veut que l'application soit accessible de l'exterieur de l'entreprise mais en prenant en considération la sécurité de serveur de base de données de la société. on m'a proposé de penser aux services web. et je suis bloquée à ce stade là. est ce que je suis obligée de developper un service web pour chaque page aspx ou juste la page de demarrage.

pour moi l'utilité des services web est de faire communiquer plusieurs applications entre eux pas la sécurité. et je suis pas sure si les services web sont suffisants pour assurer la sécurité .

[RV80]

Ce n'est pas très clair, il veut que vous publiez l'application telle quelle et que au lieu de taper directement dans la base de données vous passiez pas une API ? Ou alors que vous exposiez une API au lieu, ou en parallèle de l'application web ?
Dans le premier cas cela à un sens, du moins si les segmentations réseaux sont suffisantes par derrière et si les autorisations et le monitoring sont bien fait.
Alors un service web peut éviter de trop exposer une base de données, mais en soit cela ne garantit pas la sécurité des données, car il peut lui même être vulnérable .

Enfin d'un point de vue sécurité applicative pure cela ne change pas grand chose (par contre au niveau archi ça fait quelques changements). Pour garantir la sécurité d'applications web (et d'API) : un très bon standard : l'OWASP Application Security Verification Standard: https://owasp.org/www-project-applic...tion-standard/
Si vous arrivez à un bon niveau de conformité (disons L2) avec ce dernier, déjà la sécurité de votre application sera de bon niveau.