Securité services RPC

Version imprimable

01/07/2008, 15h54
yannart

Securité services RPC

Bonjour,
J'ai utilisé pas mal de frameworks Java mais je dois avouer que je suis très enthousiaste quand je découvre la nouvelle approche de GWT.
J'ai par contre quelques doutes sur la sécurité des appels RPC au serveur.
Imaginons par exemple un service qui envoi au client certaines données confidentielles. Côté client je met en place un système de login et seulement les personnes authorisées devraient pouvoir obtenir ces données confidencielles. Cependant, n'est-il pas possible pour un cracker de simuler un appel RPC vers le serveur et obtenir ainsi les infos interdites? Comment se protéger?
Merci.
01/07/2008, 19h58
benwit

Si mais comme n'importe quelle autre techno web via http.
Tu peux faire du https si les données qui circulent sur le réseau sont sensibles.
01/07/2008, 20h09
darkxan

Si tu as un système de login, normalement tu peux stocker quelque chose dans la session (l'identifiant de l'utilisateur par exemple) pour qu'a chaque requête tu fasses un contrôle que cet identifiant est bien présent dans la session.

S'il pirate le système, je ne sais pas trop comment normalement il sera rejeté par cette protection. Bien sûr après rien ne l'empêche de voler la session de quelqu'un...

Je suppose que sûr internet, il doit y avoir des ressources à ce sujet. Par contre effectivement comme l'a dit benwit, il faudra passer par du https si tu veux que tes données ne puisse pas être lu par quelqu'un d'extérieur.
01/07/2008, 22h30
yannart

Merci pour vos réponses. Donc si je comprend bien je peux utiliser simplement la gestion de session fournie par Java Servlet?
En fait j'avais mal compris la notion de service, je l'imaginais comme un service stateless sans gestion de session coté serveur et que je devais joindre à chaque pétition, un clef qui avertirait au serveur si j'ai le droit ou pas d'appeller le service.
01/07/2008, 22h33
darkxan

Les services ne t'empêchent pas d'utiliser des sessions oui. Après comme je l'ai dit ce système est loin d'être parfait. De plus, si les données sont confidentiels, l'utilisation https est obligatoire ou alors mettre en place un système de cryptage ce qui reviendrait à du https.