sécurité en asp!!!

slt ttt le monde,
j'ai realisé un pti site web asp/access mais je ne c pas comment j peu le securisé !!!
est ce k'il ya kelk'1 pourant me dire coment fair?
merci d'avance

la sécurité c'est pas quelque chose qui se fait à la fin, mais ca se reflechit du début ... quand tu fais ton site, il faut penser comme un pirate, toujours te dire que celui qui va faire la requete est un méchant, etc... donc maintenant ce que tu as a faire, c'est regarder chacune de tes pages et reflechir sur la facon dont un pirate peut faire des bêtises.

Mais la sécurité ce n'est pas une étape d'un developpement, c'est le quotidien !!!

---

Cyril - MCP ASP.net
Webmaster de : Hoshimi.CodeS-SourceS.fr

ok merci,
mais supposant ke mon site ne comprend k'une seul page d'identification!alor je n'aurai pas à reflechir coment pense un pirate né ce pas?car soit ila le pwd soit il ne l' pas:)
en fait javai deja travaillé sur un site ke g securisé avec SSL (donc ony accéde avec HTTPS) mais j'utilisai la tech des webservices en java ( tomcat comm serveur ) et vb.net pour la partie clinet(celle ki va consommer mon service web), et là qd je vx referencé mon services web c t simple car au lieu de l'ajouté ds mon code avec " [ Lien ]/xxx/.." il suffit de l'ajouté avec " https://localhost/....." car au coté serveur javai deja configuré tomcat pour kil accepte le https en creant un certificat ( X509 je pense!!)
mais là en asp je ne c pas coment proceder si je vx faire pareil ( i.e utilisé https par exemple car c le portocole ke je conné et kié le plus utlisé sur le net : yahoo, hotmail...)
mais le mettre en oeuvre sous "IIS , ASP" je ne c pas.
j'esere ke ta compri mon msg maitnant, car l'etape de pensé a koi peut fair un pirate c pa un pb pr moi mai plutot soit dison : il fo penser coment lesdonné vont circulé sur le résaeu, s'elle ne seont pa chiffré alor on peut le intercepé et c s ace ke je vx evité moi.
merci en tt cas

Tu peux ecrire correctement !!! et non en style sms ... :)

Sinon le protocole le plus utilisé sur le web, c'est http et non https. https sert pour une connexion securisé. pour faire cela il faut aller dans le gestion de service IIS tu auras un onglet securité et puis certificat, il me semble que c'est la que ca se configure, aprés je sais pas plus car j'ai jamais fait.

sinon pour en revenir sur la page d'identification non ce n'est pas du tout comme ca que ca fonctionne ... imagine que tu fasse mal tes requetes genre


dim sql as string = "select * from USER where user = " + user.text + " and pass=" + pass.text

aprés si je tape en mot de passe ' ' or 1=1 -- j'aurais accès ... etc... il y a plein de choses à voir. Et meme dans ton cas, t'as pensé au brute force ? au bout de 5 erreurs avec la meme IP impossible d'avoir accès etc....

---

Cyril - MCP ASP.net
Webmaster de : Hoshimi.CodeS-SourceS.fr

si j'ecri ma requete comme ça:" select * from user where ..." comme tu l'a dit, tu as dit que j'aurai accès !! j'ai pas compris pourquoi tu aura accès!!veux tu m'expliquer et que faut il faire dans ce cas car moi je me suis habitué à écrire mes reqêute d'identification de la manière que tu viens de me citer :(

merci

c'etait juste un exemple :) mais ce que je voulais dire c'est qu'il ne faut surtout pas concatener des paramètres dans une chaine sql mais utiliser des procédures stockées.

---

Cyril - MCP ASP.net
Webmaster de : Hoshimi.CodeS-SourceS.fr