La confrence de Microsoft sur le dveloppement web eu lieu Montral cette t avait pour objectif de sensibilis les dveloppeur web aux concepts de scurit.

Plusieurs sujet on t discuter telque Ajax-Atlas, WPF (Window Presentation Foundation), l’approche de dveloppement ax serveur ou ax client, l’identit digital avec les nouvelles Info Card et les “best practice” de la scurit.

Window Presentation Foundation

Vous pouvez trouver des informations sur cette technologie l’adresse suivante. Ceci va vous permettre entre autres de faire des applications local et web. Sous toute rserve cela va ncessiter Vista et IE. Il va exist une autre version du WPF qui lui va tre cross-broswer.

Atlas – Ajax pour .NET

Le systme Atlas est prsentement en bta. Il possde plusieurs contrles dont un plus particulirement intressant, car il permet de rendre une partie d’une interface ditable et la mettre jour sans faire un “refresh” complet de la page. Il est possible d’utiliser Atlas avec le framework 1.1 et avec VS 2003 cependant le tout est intgr dans VS 2005 et .NET 2.0.
The Code Room

Ce site nous montre un vido sur la possibilit des divers types d’attaque qu’un site web peut subire. Naturellement ASP.NET et SQL Serveur nous aident protger nos donnes. Visualis la vido.

Identit Digital – Digital Identity

Le “nouveau” concept de Microsoft est l’InfoCard, la suite du MSN Passport. Il protge l’utilisateur contre la contre faon et les attaques toujours en augmentation de “phishing”. Il existe deux types d’InfoCard. Les “self issue” que vous crer vous mme pour vous permet d’accder un site web et les InfoCard “Manage” qui sont fournie par le gouvernement ou une Banque, par exemple.

Le systme “InfoCard” est partie intgrante de Vista (WinFX) et lorsqu’il est actif aucun autre systme ne peut fonctionne, car lorsque vous avez votre station de travail barr. Autre site intressant : Microsoft Live Labs Security Token Service.

Ligne de pens pour le dveloppement scuritaire

  • Les logiciels ne sont pas parfait – Software is not perfect
  • Des utilisateurs malveillants existe – Malicious user do exist
  • L’information entre par l’utilisateur vient de plusieurs faons (get, post, session)
  • Vrifier toutes les informations que vous recevez (cross site scription – xss)
  • Encoder tous les outputs non vrifier que vous crivez au navigateur
  • Injection d’HTML

Rfrence: