• Aucun résultat trouvé

Sécurité en ingénierie du Logiciel

N/A
N/A
Info
Télécharger
Protected

Academic year: 2022

Partager "Sécurité en ingénierie du Logiciel"

Copied!
9
0
0

Chargement.... (Voir le texte intégral maintenant)

Texte intégral

(1)

Sécurité en ingénierie du Logiciel

Le cadre des Web Services

Partie 10 : Sécurité des serveurs HTTP (Web).

Alexandre Dulaunoy

adulau@foo.be

Sécurité en ingénierie du Logiciel – p.1/9

(2)

Agenda

Serveurs HTTP,

IIS configuration et sécurité,

Apache configuration et sécurité, Web Services et serveurs HTTP, Conclusion.

(3)

Serveurs HTTP : Introduction

Serveur pour le protocole HTTP (cf. partie 5 du cours) Gestion des questions/réponses des/aux clients, Gestion des identités,

Gestion des accès, Journaux (log),

Gestion complémentaires via modules (p.ex.),

Serveur WEB et cadre vaste (des serveurs embarqués aux serveurs en cluster),

Caching ? Proxy ? Robot ?

Sécurité en ingénierie du Logiciel – p.3/9

(4)

Introduction à IIS

Serveur HTTP intégré dans les serveurs WIN32 (NT,2000,2003),

ASP (Scripts),

Interface ISAPI (Perl, C,...),

Modules Web Services dans la partie .NET.

PWS n’est pas IIS.

(5)

Sécurité et IIS

IIS utilise la sécurité de WIN32/NT (donc les ACLs fichiers),

Un utilisateur anonyme est un utilisateur NT (IUSR_MACHINENAME),

IIS (4.0/5.0) est mono-bloc,

IIS est souvent utilisé par d’autres logiciels sur WIN32, Installation des "patches" difficiles,

Protection reverse proxy

Sécurité en ingénierie du Logiciel – p.5/9

(6)

Introduction à Apache

"a Patch" de NCSA HTTP serveur, Serveur le plus utilisé,

Logiciel Libre,

Un nombre important de modules tiers (du mod_proxy au mod_mp3),

multiplatformes (de Unix à NT).

Plusieurs projets utilisent Apache comme base (de Jakarta, Cocoon,...),

Utilisé dans des systèmes embarqués.

(7)

La sécurité et Apache

Installation minimale (!uniquement les modules utilisés),

LoadModule par la suite,

Utiliser un utilisateur/groupe dédié pour le serveur Web, Binding du port 80 temporaire,

Configuration par défaut (! aux Indexes, SymLinks,...), Créer une directive par défaut,

méthode d’Authentification(!), mod_security (content filtering),

Sécurité en ingénierie du Logiciel – p.7/9

(8)

Serveur HTTP et Web Services

Toujours, toujours contrôler les entrées et les sorties, Utiliser un reverse proxy pour limiter les entrées (en plus de l’application WS),

Attention aux privilèges de l’application WS, (via ISAPI ou suexec)

! Ordre des actions WS, ...

(9)

Q&R

adulau@foo.be

http://www.foo.be/cours/securite-webservices/

3B12 DCC2 82FA 2931 2F5B 709A 09E2 CD49 44E6 CBCD

Sécurité en ingénierie du Logiciel – p.9/9

Références

Télécharger maintenant ( PDF - 9 Page - 135.95 KB )

Documents relatifs

INNOVATION LES NOUVEAUTÉS DU LOGICIEL. Clients qui parient sur le futur! IMPRESSION DES EMBALLAGES L IMPORTANCE DU LOGICIEL DE GESTION!

mais aussi refaire le calendrier de l’usine, voir les ordres de fabrication à planifier, planning d’expédition, supprimer des or- dres du planning, du rapport, refaire ou mettre

Gestion des réponses sur Parcoursup

J’ai reçu une ou plusieurs réponses « Oui, si » (uniquement pour les formations non sélectives) qui m’intéresse plus que les autres formations pour lesquelles j’ai reçu «

Gestion des accès routiers

La personne voulant utiliser un terrain qui nécessite un accès à une route doit, avant de construire cet accès, obtenir l'autorisation du ministre. Lorsque le ministre autorise

Réponses aux questions fréquentes sur la gestion des eaux de pluie

Tous les retours d'expérience de communes comme Crépy-en-Valois 2 ou Les Mureaux 3 montrent que la gestion en amont des eaux pluviales est une solution à la fois plus

Que peut m apporter la gestion des identités et des accès dans le domaine de la conformité PCI?

Le partage de mots de passe de compte et système entre administrateurs a pour effet d’engendrer deux importants problèmes : premièrement, les utilisateurs de ces mots de

M2 Miage Gestion des Identités et des Accès

Gestion des profils d'accès au réseau local de données libelle cours Les droits d'accès aux applications, au réseau local et aux diverses parties de ce.. réseau sont-ils

Gestion des subventions Horizon Questions et réponses

Les autres frais de déplacement et de formation ne sont pas considérés comme des coûts de personnel, mais peuvent être éligibles en tant qu’autres coûts directs dès qu’il

Gestion des réponses clients

Ces rubriques peuvent être utilisées pour entrer dans la base de données des informations relatives aux réponses ou pour mettre à jour votre système CRM ou ERP.. Certai- nes