Applications clientes sécurisées (ADO.NET)

Mise à jour : November 2007

Les applications se composent généralement de nombreuses parties qui doivent toutes être protégées face aux vulnérabilités susceptibles d'entraîner une perte de données ou compromettre d'une autre manière le système. La création d'interfaces utilisateur sécurisées peut empêcher de nombreux problèmes en bloquant les attaquants avant qu'ils puissent accéder aux données ou aux ressources système.

Valider les entrées d'utilisateur

Lors de la construction d'une application qui accède à des données, vous devez vous baser sur l'hypothèse que toute entrée d'utilisateur est malveillante jusqu'à preuve du contraire. Si vous ne le faites pas, votre application sera vulnérable aux attaques. Le .NET Framework contient des classes pour vous aider à appliquer un domaine de valeurs pour les contrôles d'entrées, comme la limitation du nombre de caractères qui peuvent être entrés. Les connexions d'événement vous permettent d'écrire des procédures pour contrôler la validité des valeurs. Les données d'entrée d'utilisateur peuvent être validées et fortement typées, ce qui limite l'exposition d'une application aux attaques de script et par injection de code SQL.

Note de sécurité :
Vous devez également valider l'entrée d'utilisateur au niveau de la source de données, ainsi que dans l'application cliente. Un attaquant peut choisir de contourner votre application et d'attaquer la source de données directement.

• Sécurité et entrées d'utilisateur
  Explique comment gérer des bogues subtils et potentiellement dangereux qui impliquent une entrée d'utilisateur.

• Validation des entrées d'utilisateur dans des pages Web ASP.NET
  Vue d'ensemble de la validation d'une entrée d'utilisateur à l'aide des contrôles de validation ASP.NET.

• Entrées d'utilisateur dans les Windows Forms
  Fournit des liens et des informations relatifs à la validation des entrées de la souris et au clavier dans une application Windows Forms.

• Expressions régulières du .NET Framework
  Explique comment utiliser la classe Regex pour vérifier la validité des entrées d'utilisateur.

Applications Windows

Auparavant, les applications Windows s'exécutaient généralement avec toutes les autorisations. Le .NET Framework fournit l'infrastructure permettant de restreindre l'exécution du code dans une application Windows en utilisant la sécurité d'accès du code. Toutefois, la sécurité d'accès du code seule n'est pas suffisante pour protéger votre application.

• Sécurité des Windows Forms
  Explique comment sécuriser des applications Windows Forms et fournit des liens vers des rubriques connexes.

• Applications Windows Forms et non managées
  Explique comment interagir avec des applications non managées dans une application Windows Forms.

• Déploiement ClickOnce pour les applications Windows Forms
  Explique comment utiliser un déploiement ClickOnce dans une application Windows Forms et traite des implications en matière de sécurité.

ASP.NET et services Web XML

Les applications ASP.NET doivent généralement restreindre l'accès à certaines portions du site Web et fournissent d'autres mécanismes de protection des données et de sécurité du site. Ces liens fournissent des informations utiles pour sécuriser votre application ASP.NET.

Un service Web XML fournit des données qui peuvent être consommées par une application ASP.NET, une application Windows Forms ou un autre service Web. Vous devez gérer la sécurité pour le service Web lui-même, ainsi que la sécurité pour l'application cliente.

Pour plus d'informations, voir les ressources suivantes.

Ressource	Description
Sécurisation de sites Web ASP.NET	Explique comment sécuriser des applications ASP.NET.
Sécurisation des services Web XML créés à l'aide d'ASP.NET	Explique comment implémenter la sécurité pour un service Web ASP.NET.
Vue d'ensemble des attaques de script	Explique comment se protéger d'une attaque de script, qui tente d'insérer des caractères nuisibles dans une page Web.
Méthodes de sécurité de base pour les applications Web ASP.NET	Informations générales sur la sécurité et liens vers une présentation additionnelle.

Exécution à distance

NET Remoting vous permet de créer aisément des applications largement distribuées, que les composants d'application se trouvent tous sur un même ordinateur ou soient dispersés dans le monde entier. Vous pouvez créer des applications clientes qui utilisent des objets dans d'autres processus sur le même ordinateur ou sur tout autre ordinateur accessible via son réseau. Vous pouvez également utiliser .NET Remoting pour communiquer avec d'autres domaines d'application dans le même processus.

Ressource	Description
Configuration d'applications distantes	Explique comment configurer les applications distantes pour éviter les problèmes courants.
Sécurité dans l'accès distant	Décrit l'authentification et le chiffrement, ainsi que des rubriques de sécurité supplémentaires relatives à l'exécution à distance.
Considérations sur la sécurité et l'accès distant	Décrit les problèmes de sécurité liés aux objets protégés et au franchissement de domaine d'application.

Voir aussi

Concepts

Recommandations relatives aux stratégies d'accès aux données

Sécurisation des applications

Protection des informations de connexion (ADO.NET)

Autres ressources

Sécurisation des applications ADO.NET