Partager via


Applications clientes sécurisées (ADO.NET)

Mise à jour : November 2007

Les applications se composent généralement de nombreuses parties qui doivent toutes être protégées face aux vulnérabilités susceptibles d'entraîner une perte de données ou compromettre d'une autre manière le système. La création d'interfaces utilisateur sécurisées peut empêcher de nombreux problèmes en bloquant les attaquants avant qu'ils puissent accéder aux données ou aux ressources système.

Valider les entrées d'utilisateur

Lors de la construction d'une application qui accède à des données, vous devez vous baser sur l'hypothèse que toute entrée d'utilisateur est malveillante jusqu'à preuve du contraire. Si vous ne le faites pas, votre application sera vulnérable aux attaques. Le .NET Framework contient des classes pour vous aider à appliquer un domaine de valeurs pour les contrôles d'entrées, comme la limitation du nombre de caractères qui peuvent être entrés. Les connexions d'événement vous permettent d'écrire des procédures pour contrôler la validité des valeurs. Les données d'entrée d'utilisateur peuvent être validées et fortement typées, ce qui limite l'exposition d'une application aux attaques de script et par injection de code SQL.

Note de sécurité :

Vous devez également valider l'entrée d'utilisateur au niveau de la source de données, ainsi que dans l'application cliente. Un attaquant peut choisir de contourner votre application et d'attaquer la source de données directement.

Applications Windows

Auparavant, les applications Windows s'exécutaient généralement avec toutes les autorisations. Le .NET Framework fournit l'infrastructure permettant de restreindre l'exécution du code dans une application Windows en utilisant la sécurité d'accès du code. Toutefois, la sécurité d'accès du code seule n'est pas suffisante pour protéger votre application.

ASP.NET et services Web XML

Les applications ASP.NET doivent généralement restreindre l'accès à certaines portions du site Web et fournissent d'autres mécanismes de protection des données et de sécurité du site. Ces liens fournissent des informations utiles pour sécuriser votre application ASP.NET.

Un service Web XML fournit des données qui peuvent être consommées par une application ASP.NET, une application Windows Forms ou un autre service Web. Vous devez gérer la sécurité pour le service Web lui-même, ainsi que la sécurité pour l'application cliente.

Pour plus d'informations, voir les ressources suivantes.

Ressource

Description

Sécurisation de sites Web ASP.NET

Explique comment sécuriser des applications ASP.NET.

Sécurisation des services Web XML créés à l'aide d'ASP.NET

Explique comment implémenter la sécurité pour un service Web ASP.NET.

Vue d'ensemble des attaques de script

Explique comment se protéger d'une attaque de script, qui tente d'insérer des caractères nuisibles dans une page Web.

Méthodes de sécurité de base pour les applications Web ASP.NET

Informations générales sur la sécurité et liens vers une présentation additionnelle.

Exécution à distance

NET Remoting vous permet de créer aisément des applications largement distribuées, que les composants d'application se trouvent tous sur un même ordinateur ou soient dispersés dans le monde entier. Vous pouvez créer des applications clientes qui utilisent des objets dans d'autres processus sur le même ordinateur ou sur tout autre ordinateur accessible via son réseau. Vous pouvez également utiliser .NET Remoting pour communiquer avec d'autres domaines d'application dans le même processus.

Ressource

Description

Configuration d'applications distantes

Explique comment configurer les applications distantes pour éviter les problèmes courants.

Sécurité dans l'accès distant

Décrit l'authentification et le chiffrement, ainsi que des rubriques de sécurité supplémentaires relatives à l'exécution à distance.

Considérations sur la sécurité et l'accès distant

Décrit les problèmes de sécurité liés aux objets protégés et au franchissement de domaine d'application.

Voir aussi

Concepts

Recommandations relatives aux stratégies d'accès aux données

Sécurisation des applications

Protection des informations de connexion (ADO.NET)

Autres ressources

Sécurisation des applications ADO.NET