• Aucun résultat trouvé

Sécurisation d une application ASP.NET

N/A
N/A
Info
Télécharger
Protected

Academic year: 2022

Partager "Sécurisation d une application ASP.NET"

Copied!
6
0
0

Chargement.... (Voir le texte intégral maintenant)

Texte intégral

(1)

Sécurisation d’une application ASP.NET

1- Authentification

L’authentification est un processus essentiel à la sécurisation d’une application internet. Ce processus permet d’authentifier l’entité à l’origine d’une requête et de l’identifier auprès d’une autorité.

L’autorisation détermine quelles sont les ressources accessibles à l’entité étant à l’origine de la requête.

IIS et ASP.NET mettent à la disposition des développeurs plusieurs systèmes d'authentification. Nous ferons abstraction dans cet article de la configuration de l’authentification sous IIS (Authentification anonyme, Authentification de base, Authentification Digest, Authentification Windows).

Pour des informations détaillées n’hésitez pas à me contacter: arthur[at]supinfo.com.

Principe de fonctionnement utilisant l’interaction IIS / Framework .NET :

Adresse IP et domaine autorisés

Utilisateur connu (authentifié)

Client

IIS Accès refusé

NON

OUI

NON

ASP.NET

Lancement de l’application

ASP.NET

Utilisateur valide connu et autorisé avec prise en compte de l’emprunt

d’identité s’il est activé

NON

ACCES AUTORISE

OUI

(2)

ASP.NET permet l’authentification grâce à des fournisseurs d’authentification qui contiennent le code nécessaire pour authentifier et identifier un utilisateur.

ASP.NET supporte quatre types de fournisseurs d’authentification:

forms, windows (par défaut), passport, none (authentification personnalisée).

Les différents types d’authentification ASP.NET A- Authentification par Windows

Ce principe d’authentification permet de traiter l’utilisateur fourni par IIS comme un

utilisateur authentifié dans une application ASP.NET. Cette méthode d'authentification affecte certes la valeur de la propriété User d'un WindowsIdentity fourni par IIS, mais il ne modifie en aucun cas l'identité Windows fournie par le Système. Or, les vérifications des autorisations d'accès se basent sur cette identité Windows. Il est donc important de calquer l'identité Windows ASP.NET sur l'identité Windows IIS en activant l'emprunt d'identité (identity avec l’attribut impersonate actif).

Configuration :

<system.web>

<authentication mode = "Windows" />

<identity impersonate = "true" />

</system.web>

B- Authentification par Forms

Utilisateur connu Client

ASP.NET

NON OUI

NON Formulaire de

login

Envoi d’un cookie stocké au niveau du navigateur du

client

Utilisateur autorisé

Refus

Affichage de la page

OUI

Redirection

(3)

L’authentification par Forms est la méthode la plus couramment utilisée sur internet.

Cette méthode d’authentification permet de gérer l’identification d’un utilisateur par un formulaire web. L’application ASP.NET stock les informations utilisateur dans un cookie. Ce type d’authentification permet de stocker ses propres informations client.

Ce type d’authentification peut être mis en place très rapidement en utilisant le framework membership intégré au Framework .NET

Configuration :

<system.web>

<authentication mode = "Forms">

<forms name=".ASPXFORMSAUTH" loginUrl="Login.aspx" />

</authentication>

</system.web>

C- Authentification par Passport

Serveur Central PASSPORT.NET Client

Utilisateur

authentifié ? Redirection

Non

Redirection

Oui

Affichage des données

Cette méthode d’authentification est un service qui permet aux utilisateurs de créer un compte unique sécurisé permettant l’accès à tous les services et sites Web .NET Passport. Ces sites reposent sur le serveur .NET Passport qui s’occupe de

l’authentification. Ainsi vous pouvez établir une connexion sécurisée (SSL) entre votre site et le serveur central .NET Passport. Tout en permettant aux utilisateurs de conserver leur compte Passport, d’un site à l’autre. La communication ne s’effectue pas en temps réel entre le serveur central (.Net Passport) et votre site Web. Les échanges d’informations son gérés au niveau du navigateur du client en utilisant une redirection HTTP.

Configuration :

<system.web>

<authentication mode = "Passport" />

</system.web>

(4)

2- Gestion simplifiée des comptes utilisateur

Le Framework .Net met à disposition des développeurs des outils de gestion utilisateur très puissants qui permettent de gérer la création de compte, l’identification et la réinitialisation de mot de passe en quelques clicks.

A- Framework Membership

Membership est un Framework gérant l’abstraction des données utilisateur. Cet outil permet d’interagir avec la base de données utilisateur en fournissant une classe et un ensemble de méthodes essentielles pour la gestion de comptes. Pour récupérer les données utilisateur, la classe Membership fait appel à des providers.

Le Framework .NET inclut un provider (SqlMembershipProvider) qui permet de stocker les informations utilisateur dans une base de données (par défaut configuré pour SQL Server) ainsi qu’un provider (ActiveDirectoryMembershipProvider) qui permet de stocker les informations utilisateur sur un serveur Active Directory. Un provider personnalisé peut par ailleurs être mis en place afin qu'il communique avec une autre source de données. Par défaut, le provider utilisé par Membership est “SqlMembershipProvider”.

Configuration :

<membership defaultProvider = "Prov">

<providers>

<add name=" Prov" type="System.Web.Security.SqlMemberShipProvider, System.Web, Version=2.0.0.0, Culture=neutral" connectionStringName="MySqlServer" />

</providers>

</membership>

B- Contrôles prédéfinis

Un contrôle serveur est une entité issue de System.Web.UI.Control permettant de générer du code HTML. Des contrôles serveur spécifiques à gestion de comptes utilisateur sont fournis par le framework.net (LoginView, Login,

PasswordRecovery, …).

Ces contrôles permettent d’automatiser les formulaires de gestion de comptes utilisateur.

(5)

3- Rôles et Profiles utilisateur

A- Rôles

Les rôles permettent de définir des types d’utilisateur, ainsi il devient possible de lier l’accès à certaines parties d’un site à certains types d’utilisateur.

L’utilisation de rôles peut se faire dans le cadre d’une authentification forms ou d’une authentification windows. L’authentification windows est donc très utile dans le cadre d’un intranet, alors qu’une authentification par forms s’avère beaucoup plus cohérante dans le cadre d’un site internet.

Configuration:

- Les providers

<system.web>

<membership defaultProvider="RoleProv" enable="true" cacheRolesInCookie = "true">

<roleManager enabled="true" />

<providers>

<add name="RoleProv" type="System.Web.Security.SqlRoleProvider, System.Web, Version=2.0.0.0, Culture=neutral" connectionStringName="MySqlServer" />

</providers>

</membership>

</system.web>

- Les restrictions générales

<location path="edition.aspx">

<system.web>

<authorization>

<allow roles="editeur" />

<deny users="?" />

</authorization>

</system.web>

</location>

- Affectation et test d’un rôle

if(!Roles.IsUserInRole("editeur"))

Roles.AddUserToRole(User.Identity.Name,"editeur");

(6)

B- Profiles utilisateur

Les profiles utilisateur peuvent s’avérer très utiles dans le cadre de la

personnalisation d’un site web (design). En effet les profiles permettent de stocker dans un cookie des informations spécifiques à un utilisateur pour un rôle donné.

Configuration : Profile anonyme:

<anonymousIdentification enabled="true" cookieless="AutoDetect" />

Propriétés d’un profile:

<system.web>

<profile enabled="true">

<properties>

<add name="couleur" type="System.String" />

</properties>

</profile>

</system.web>

Gestion des profiles dans le code-Behind:

ProfileCommon currentProfile = Profile.GetProfile(e.AnonymousID);

if (currentProfile != null)

Profile.color = currentProfile.Color;

Arthur Tarlay

Laboratoire des technologies WEB SUPINFO AQUITAINE

Références

Télécharger maintenant ( PDF - 6 Page - 302.46 KB )

Documents relatifs

Dares Analyses 2015-094 - Négociations collectives plus orientées vers l’emploi en 2013 (PDF, 633.58 Ko)

(4) La loi du 20 août 2008 rend par exemple possible les négociations collectives avec des instances représentatives du personnel élues dans les entreprises de moins de 200

ASP NET

Value Obtient la valeur de l'élément sélectionné dans le contrôle HtmlSelect ou définit la propriété SelectedIndex du contrôle sur l'index du premier élément de la liste

3.1 H´ eritage de Framework .NET

- 1 o ) Ecrire une m´ethode d’initialisation (sans argument) qui demande une ´ chaˆıne de moins de quinze caract`eres (repr´esentant la langue) et, pour chaque entier compris entre

Hydrodynamic coating of a fiber

Le probl`eme ´etudi´e a donc deux familles de solution : i a` basse vitesse, le d´epˆot r´esulte d’un compromis entre viscosit´e et capillarit´e, si bien qu’il est sensible `a

Bordeu et Barthez : le malentendu "vitaliste"

L’archive ouverte pluridisciplinaire HAL, est destinée au dépôt et à la diffusion de documents scientifiques de niveau recherche, publiés ou non, émanant des

Thermo-Mechanical Modeling of Distortions Promoted during Cooling of Ti-6Al-4V Part Produced by Superplastic Forming

SPF of parts at AIRBUS is carried out with different titanium alloys. The alloy considered in this paper is the Ti-6Al-4V. Its superplastic properties are well known [1], [2].

Création d’une base de données « Access / SQL Server » – Cours et formation gratuit

L’observatoire économique et touristique local « Pays du St-Bernard » se présente actuellement sous la forme d’un projet pilote, basé sur une base de données relationnelles

Apprenez .NET Framework

Lecture de la réponse GET sous forme de chaîne à l'aide de System.Net.HttpWebRequest 49 Lecture de la réponse GET sous forme de chaîne à l'aide de System.Net.WebClient 49 Lecture de