[Web] Questions à propos des technos Web & Sécurité

Hello à tous,

Voilà, en ce moment je me pose quelques questions concernant la sécurité dans les applications web et plus particulièrement quant il s’agit d’effectuer une manipulation de fichier (pour un traitement spécifique) sur la machine serveur/client.

J’ai travaillé sur quelques projets web (intranet pour la plupart) en ASP .NET. Et pour que l’application puisse fonctionner, il est impératif de bien configurer Internet Explorer. Et quand je dis configurer, c’est carrément réduire la sécurité d’IE et laissé donc exécuter les scripts JS/ActiveX non signés ou pas par exemple (import/export/fusion de fichiers sur un programme spécifique situé sur le serveur).

La question est donc, comment peut on savoir si notre code n’est pas signé comme étant du code sain. Et puisse donc fonctionner sur n’importe quel machine et celon n’importe quel niveau de sécurité d’IE. Y en a t il parmis vous qui sont aussi dans mon cas ?

Que faites vous dans ce cas là ? Continuez vous à pondre du code sachant qu’il faudrait obliger le client à réduire la sécurité sur son navigateur IE ? ou bien vous avez des solutions qui vous permettent de confirmer à IE que votre code est complètement sain et sur ?

sur laquelle?

Disons que l’appli peut effectuer un traitement sur la machine serveur qui contient l’application web (export excel par exemple puis execution automatique de VBE pour ensuite récupérer le résultat de script VBE vers l’appli web) . Pour ce qui est des traitements cotés clients, j’en ai pas pour le moment. C’est juste une question que j’aurai aimé avoir une réponse.

A moins que j’ai pas compris ta question.

[quote=“MetalDestroyer, post:3, topic: 36515”]Disons que l’appli peut effectuer un traitement sur la machine serveur qui contient l’application web (export excel par exemple puis execution automatique de VBE pour ensuite récupérer le résultat de script VBE vers l’appli web) . Pour ce qui est des traitements cotés clients, j’en ai pas pour le moment. C’est juste une question que j’aurai aimé avoir une réponse.

A moins que j’ai pas compris ta question.[/quote]

Bah dans ce cas ça veut dire que tu n’as pas de problèmes de sécurité, ou alors je n’ai pas compris la question non plus ^^ Mais bon disons que globalement, à moins de développer un controle ActiveX ou ce genre de chose, tu ne pourras jamais écrire des choses sur le poste client.

En fait le problème est plus lier à la sécurité d’IE. Le fait de réduire complètement le niveau de sécurité d’IE, fait il que notre application est mauvais ? et donc faudrait il revoir ce morceau de code ActiveX pour qu’il soit au norme de sécurité d’IE afin d’etre utilisable sur tous les postes clients sans modifier le niveau de sécurité de leur navigateur IE.

Parce que bon quand je vois les différents niveaux de sécurité que propose Internet Explorer, ca me fait mal de voir que le fait de passer d’un niveau de sécurité haut passe vers le niveaux le plus bas et qui au final réduit considérablement la sécurité du poste client et peut donc chopper plein de truc malicieux sur le web à cause d’une application web type Intranet.

J’espère que je suis un peu plus claire :slight_smile:

le truc étant de ne pas utiliser d’active x quand on développe une appli intranet.

Je veux bien mais quand t’as mais alors vraiment pas le choix. On fait comment ? :slight_smile:

Tu reduit pas la secu de IE, ca c’est super bad, tu signes tout correctement et tu laisse le choix a ton utilisateur d’installer ton appli. Ou alors j’ai rien pigé a ce que tu veux faire ce qui est fort possible :slight_smile:

Ouais, c’est ce que je me suis dit, cay mal de réduire la sécurité. On signe comment quand le code est soit dans du javascript ou soit dans le code behind ? Bon, je sais que déjà rien que mettre du code js dans le code behind cay mal mais bon, chui pas l’auteur de cette partie.

Je comprend pas… Un javascript c’est par essence coté client et non signable, non???

normalement, c’est les Active X qui vont pleurer s’ils sont pas signés, mais je ne vois pas autre chose de signable (en mm temps je suis encore un noob :))

Yep, javascript c’est coté client. Et désolé, en regardant correctement, le code est écrit en C#. Euh par contre, je ne sais strictement pas comment signé ce fichier. Je vais aller voir ça.

Edit : bon j’ai vu où se faisait la signature. Bon malheureusement vu que je ne peux plus toucher au code source, je devrais attendre la prochaine update.