La conférence de Microsoft sur le développement web à eu lieu à Montréal cette été avait pour objectif de sensibilisé les développeur web aux concepts de sécurité.

Plusieurs sujet on été discuter telque Ajax-Atlas, WPF (Window Presentation Foundation), l’approche de développement axé serveur ou axé client, l’identité digital avec les nouvelles Info Card et les “best practice” de la sécurité.

Window Presentation Foundation

Vous pouvez trouver des informations sur cette technologie à l’adresse suivante. Ceci va vous permettre entre autres de faire des applications local et web. Sous toute réserve cela va nécessiter Vista et IE. Il va existé une autre version du WPF qui lui va être cross-broswer.

Atlas – Ajax pour .NET

Le système Atlas est présentement en bêta. Il possède plusieurs contrôles dont un plus particulièrement intéressant, car il permet de rendre une partie d’une interface éditable et la mettre à jour sans faire un “refresh” complet de la page. Il est possible d’utiliser Atlas avec le framework 1.1 et avec VS 2003 cependant le tout est intégré dans VS 2005 et .NET 2.0.
The Code Room

Ce site nous montre un vidéo sur la possibilité des divers types d’attaque qu’un site web peut subire. Naturellement ASP.NET et SQL Serveur nous aident à protéger nos données. Visualisé la vidéo.

Identité Digital – Digital Identity

Le “nouveau” concept de Microsoft est l’InfoCard, la suite du MSN Passport. Il protège l’utilisateur contre la contre façon et les attaques toujours en augmentation de “phishing”. Il existe deux types d’InfoCard. Les “self issue” que vous créer vous même pour vous permet d’accéder à un site web et les InfoCard “Manage” qui sont fournie par le gouvernement ou une Banque, par exemple.

Le système “InfoCard” est partie intégrante de Vista (WinFX) et lorsqu’il est actif aucun autre système ne peut fonctionne, car lorsque vous avez votre station de travail barré. Autre site intéressant : Microsoft Live Labs Security Token Service.

Ligne de pensé pour le développement sécuritaire

  • Les logiciels ne sont pas parfait – Software is not perfect
  • Des utilisateurs malveillants existe – Malicious user do exist
  • L’information entrée par l’utilisateur vient de plusieurs façons (get, post, session)
  • Vérifier toutes les informations que vous recevez (cross site scription – xss)
  • Encoder tous les outputs non vérifier que vous écrivez au navigateur
  • Injection d’HTML

Référence: