sécurité en asp!!!

Question

slt ttt le monde,
j'ai realis&#233; un pti site web asp/access mais je ne c pas comment j peu le securis&#233; !!!
est ce k'il ya kelk'1 pourant me dire coment fair?
merci d'avance

jesusonline · Answer

la s&#233;curit&#233; c'est pas quelque chose qui se fait &#224; la fin, mais ca se reflechit du d&#233;but ... quand tu fais ton site, il faut penser comme un pirate, toujours te dire que celui qui va faire la requete est un m&#233;chant, etc... donc maintenant ce que tu as a faire, c'est regarder chacune de tes pages et reflechir sur la facon dont un pirate peut faire des b&#234;tises. 

Mais la s&#233;curit&#233; ce n'est pas une &#233;tape d'un developpement, c'est le quotidien !!! 


<HR>
Cyril - MCP ASP.net
Webmaster de : Hoshimi.CodeS-SourceS.fr

j_aub · Answer

ok merci,
mais supposant ke mon site ne comprend k'une seul page d'identification!alor je n'aurai pas &#224; reflechir coment pense un pirate n&#233; ce pas?car soit ila le pwd soit il ne l' pas:)
en fait javai deja travaill&#233; sur un site ke g securis&#233; avec SSL (donc ony acc&#233;de avec HTTPS) mais j'utilisai la tech des webservices en java ( tomcat comm serveur ) et vb.net pour la partie clinet(celle ki va consommer mon service web), et l&#224; qd je vx referenc&#233; mon services web c t simple car au lieu de l'ajout&#233; ds mon code avec " http://localhost/xxx/.." il suffit de l'ajout&#233; avec " https://localhost/....." car au cot&#233; serveur javai deja configur&#233; tomcat pour kil accepte le https en creant un certificat ( X509 je pense!!)
mais l&#224; en asp je ne c pas coment proceder si je vx faire pareil ( i.e utilis&#233; https par exemple car c le portocole ke je conn&#233; et ki&#233; le plus utlis&#233; sur le net : yahoo, hotmail...)
mais le mettre en oeuvre sous "IIS , ASP" je ne c pas.
j'esere ke ta compri mon msg maitnant, car l'etape de pens&#233; a koi peut fair un pirate c pa un pb pr moi mai plutot soit dison : il fo penser coment lesdonn&#233; vont circul&#233; sur le r&#233;saeu, s'elle ne seont pa chiffr&#233; alor on peut le intercep&#233; et c s ace ke je vx evit&#233; moi.
merci en tt cas

jesusonline · Answer

Tu peux ecrire correctement !!! et non en style sms ... :) 

Sinon le protocole le plus utilis&#233; sur le web, c'est http et non https. https sert pour une connexion securis&#233;. pour faire cela il faut aller dans le gestion de service IIS tu auras un onglet securit&#233; et puis certificat, il me semble que c'est la que ca se configure, apr&#233;s je sais pas plus car j'ai jamais fait. 

sinon pour en revenir sur la page d'identification non ce n'est pas du tout comme ca que ca fonctionne ... imagine que tu fasse mal tes requetes genre 
dim sql as string "select * from USER where user " + user.text + " and pass=" + pass.text 

apr&#233;s si je tape en mot de passe ' ' or 1=1 -- j'aurais acc&#232;s ... etc... il y a plein de choses &#224; voir. Et meme dans ton cas, t'as pens&#233; au brute force ? au bout de 5 erreurs avec la meme IP impossible d'avoir acc&#232;s etc.... 


<HR>
Cyril - MCP ASP.net
Webmaster de : Hoshimi.CodeS-SourceS.fr

j_aub · Answer

si j'ecri ma requete comme &#231;a:" select * from user where ..." comme tu l'a dit, tu as dit que j'aurai acc&#232;s !! j'ai pas compris pourquoi tu aura acc&#232;s!!veux tu m'expliquer et que faut il faire dans ce cas car moi je me suis habitu&#233; &#224; &#233;crire mes req&#234;ute d'identification de la mani&#232;re que tu viens de me citer :(

merci

jesusonline · Answer

c'etait juste un exemple :) mais ce que je voulais dire c'est qu'il ne faut surtout pas concatener des param&#232;tres dans une chaine sql mais utiliser des proc&#233;dures stock&#233;es.


<HR>
Cyril - MCP ASP.net
Webmaster de : Hoshimi.CodeS-SourceS.fr

Sécurité en asp!!!

5 réponses

Votre réponse

Discussions similaires