Une question concernant les variables de session.
J'ai une application Web où l'utilisateur doit accéder à une base de
données Oracle sur presque toutes les pages.
J'ai donc un objet OracleConnection sur chaque page.
Or, l'utilisateur doit être authentifié lui même (je ne peux donc pas
enregistrer un nom et mot de passe "en dur" dans la chaine de connexion de
chaque page).
Je pensais donc faire une première page de connexion à la base de données,
et ensuite mettre le nom d'utilisateur et le mot de passe dans des
variables de session. Mais est-ce assez sécurisé ? Ou y a-t-il un moyen de
crypter des variables de session ? Ou alors avez vous une autre solution ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Paul Bacelar
"TheHach" wrote in message news:
Bonjour.
Une question concernant les variables de session. J'ai une application Web où l'utilisateur doit accéder à une base de données Oracle sur presque toutes les pages. J'ai donc un objet OracleConnection sur chaque page. Or, l'utilisateur doit être authentifié lui même (je ne peux donc pas enregistrer un nom et mot de passe "en dur" dans la chaine de connexion de chaque page). Je pensais donc faire une première page de connexion à la base de données, et ensuite mettre le nom d'utilisateur et le mot de passe dans des variables de session. Mais est-ce assez sécurisé ? Ou y a-t-il un moyen de crypter des variables de session ? Ou alors avez vous une autre solution ?
Merci de votre aide.
ASP.NET permet le concept d'impersonnalisation. Cela permet au server ASP.NET de prendre l'identité de n'importe quel utilisateur Windows du Domain.
-- Paul Bacelar MVP VC++
"TheHach" <TheHach@thehach.com> wrote in message
news:Xns97516151EB5D8TheHachthehachcom@194.2.0.23...
Bonjour.
Une question concernant les variables de session.
J'ai une application Web où l'utilisateur doit accéder à une base de
données Oracle sur presque toutes les pages.
J'ai donc un objet OracleConnection sur chaque page.
Or, l'utilisateur doit être authentifié lui même (je ne peux donc pas
enregistrer un nom et mot de passe "en dur" dans la chaine de connexion de
chaque page).
Je pensais donc faire une première page de connexion à la base de données,
et ensuite mettre le nom d'utilisateur et le mot de passe dans des
variables de session. Mais est-ce assez sécurisé ? Ou y a-t-il un moyen de
crypter des variables de session ? Ou alors avez vous une autre solution ?
Merci de votre aide.
ASP.NET permet le concept d'impersonnalisation. Cela permet au server
ASP.NET de prendre l'identité de n'importe quel utilisateur Windows du
Domain.
Une question concernant les variables de session. J'ai une application Web où l'utilisateur doit accéder à une base de données Oracle sur presque toutes les pages. J'ai donc un objet OracleConnection sur chaque page. Or, l'utilisateur doit être authentifié lui même (je ne peux donc pas enregistrer un nom et mot de passe "en dur" dans la chaine de connexion de chaque page). Je pensais donc faire une première page de connexion à la base de données, et ensuite mettre le nom d'utilisateur et le mot de passe dans des variables de session. Mais est-ce assez sécurisé ? Ou y a-t-il un moyen de crypter des variables de session ? Ou alors avez vous une autre solution ?
Merci de votre aide.
ASP.NET permet le concept d'impersonnalisation. Cela permet au server ASP.NET de prendre l'identité de n'importe quel utilisateur Windows du Domain.
-- Paul Bacelar MVP VC++
TheHach
"Paul Bacelar" wrote in news:e#:
ASP.NET permet le concept d'impersonnalisation. Cela permet au server ASP.NET de prendre l'identité de n'importe quel utilisateur Windows du Domain.
Merci pour votre réponse, mais nous n'avons pas de domaine Windows mais Linux. Et cette application doit être utilisable par d'autres sociétés du groupe qui se trouvent un peu partout dans le monde, et où chacun a une config différente (Linux, Windows, Novell, ...). Le seul dénominateur commun est l'utilisateur Oracle.
Comment faire alors ?
"Paul Bacelar" <paul.bacelar@PASDESPAMlaposte.net> wrote in
news:e#V4PuoHGHA.3064@TK2MSFTNGP10.phx.gbl:
ASP.NET permet le concept d'impersonnalisation. Cela permet au server
ASP.NET de prendre l'identité de n'importe quel utilisateur Windows du
Domain.
Merci pour votre réponse, mais nous n'avons pas de domaine Windows mais
Linux.
Et cette application doit être utilisable par d'autres sociétés du groupe
qui se trouvent un peu partout dans le monde, et où chacun a une config
différente (Linux, Windows, Novell, ...). Le seul dénominateur commun est
l'utilisateur Oracle.
ASP.NET permet le concept d'impersonnalisation. Cela permet au server ASP.NET de prendre l'identité de n'importe quel utilisateur Windows du Domain.
Merci pour votre réponse, mais nous n'avons pas de domaine Windows mais Linux. Et cette application doit être utilisable par d'autres sociétés du groupe qui se trouvent un peu partout dans le monde, et où chacun a une config différente (Linux, Windows, Novell, ...). Le seul dénominateur commun est l'utilisateur Oracle.
Comment faire alors ?
Patrice
Les variables de session sont sur le serveur donc relativement solide en théorie.
Après c'est toujours le même problème. La sécurité consiste à accumuler une série d'obstacles. Par exemple, il serait possible de "publier" cette chaîne par inadvertance dans un message d'erreur. La variable sera alors bien sûr visible en clair si elle n'est pas cryptée.
Donc je pense qu'il serait tout de même préférable de crypter ces infos (en isolant bien cette partie, il sera possible d'activer ou désactiver ce cryptage).
Comme on utilise des connexions spécifiques à chaque utilisateur, la montée en charge sera à priori limitée (le poooling des connexions sera inefficace).
-- Patrice
"TheHach" a écrit dans le message de news:
Bonjour.
Une question concernant les variables de session. J'ai une application Web où l'utilisateur doit accéder à une base de données Oracle sur presque toutes les pages. J'ai donc un objet OracleConnection sur chaque page. Or, l'utilisateur doit être authentifié lui même (je ne peux donc pas enregistrer un nom et mot de passe "en dur" dans la chaine de connexion de chaque page). Je pensais donc faire une première page de connexion à la base de données, et ensuite mettre le nom d'utilisateur et le mot de passe dans des variables de session. Mais est-ce assez sécurisé ? Ou y a-t-il un moyen de crypter des variables de session ? Ou alors avez vous une autre solution ?
Merci de votre aide.
Les variables de session sont sur le serveur donc relativement solide en
théorie.
Après c'est toujours le même problème. La sécurité consiste à accumuler une
série d'obstacles. Par exemple, il serait possible de "publier" cette chaîne
par inadvertance dans un message d'erreur. La variable sera alors bien sûr
visible en clair si elle n'est pas cryptée.
Donc je pense qu'il serait tout de même préférable de crypter ces infos (en
isolant bien cette partie, il sera possible d'activer ou désactiver ce
cryptage).
Comme on utilise des connexions spécifiques à chaque utilisateur, la montée
en charge sera à priori limitée (le poooling des connexions sera
inefficace).
--
Patrice
"TheHach" <TheHach@thehach.com> a écrit dans le message de
news:Xns97516151EB5D8TheHachthehachcom@194.2.0.23...
Bonjour.
Une question concernant les variables de session.
J'ai une application Web où l'utilisateur doit accéder à une base de
données Oracle sur presque toutes les pages.
J'ai donc un objet OracleConnection sur chaque page.
Or, l'utilisateur doit être authentifié lui même (je ne peux donc pas
enregistrer un nom et mot de passe "en dur" dans la chaine de connexion de
chaque page).
Je pensais donc faire une première page de connexion à la base de données,
et ensuite mettre le nom d'utilisateur et le mot de passe dans des
variables de session. Mais est-ce assez sécurisé ? Ou y a-t-il un moyen de
crypter des variables de session ? Ou alors avez vous une autre solution ?
Les variables de session sont sur le serveur donc relativement solide en théorie.
Après c'est toujours le même problème. La sécurité consiste à accumuler une série d'obstacles. Par exemple, il serait possible de "publier" cette chaîne par inadvertance dans un message d'erreur. La variable sera alors bien sûr visible en clair si elle n'est pas cryptée.
Donc je pense qu'il serait tout de même préférable de crypter ces infos (en isolant bien cette partie, il sera possible d'activer ou désactiver ce cryptage).
Comme on utilise des connexions spécifiques à chaque utilisateur, la montée en charge sera à priori limitée (le poooling des connexions sera inefficace).
-- Patrice
"TheHach" a écrit dans le message de news:
Bonjour.
Une question concernant les variables de session. J'ai une application Web où l'utilisateur doit accéder à une base de données Oracle sur presque toutes les pages. J'ai donc un objet OracleConnection sur chaque page. Or, l'utilisateur doit être authentifié lui même (je ne peux donc pas enregistrer un nom et mot de passe "en dur" dans la chaine de connexion de chaque page). Je pensais donc faire une première page de connexion à la base de données, et ensuite mettre le nom d'utilisateur et le mot de passe dans des variables de session. Mais est-ce assez sécurisé ? Ou y a-t-il un moyen de crypter des variables de session ? Ou alors avez vous une autre solution ?
Merci de votre aide.
Paul Bacelar
En exemple d'utilisation de source externes pour l'authentification : http://msdn.microsoft.com/msdnmag/issues/05/04/Security/ -- Paul Bacelar MVP VC++
"TheHach" wrote in message news:
"Paul Bacelar" wrote in news:e#:
ASP.NET permet le concept d'impersonnalisation. Cela permet au server ASP.NET de prendre l'identité de n'importe quel utilisateur Windows du Domain.
Merci pour votre réponse, mais nous n'avons pas de domaine Windows mais Linux. Et cette application doit être utilisable par d'autres sociétés du groupe qui se trouvent un peu partout dans le monde, et où chacun a une config différente (Linux, Windows, Novell, ...). Le seul dénominateur commun est l'utilisateur Oracle.
Comment faire alors ?
En exemple d'utilisation de source externes pour l'authentification :
http://msdn.microsoft.com/msdnmag/issues/05/04/Security/
--
Paul Bacelar
MVP VC++
"TheHach" <TheHach@thehach.com> wrote in message
news:Xns975461C017EB8TheHachthehachcom@194.2.0.23...
"Paul Bacelar" <paul.bacelar@PASDESPAMlaposte.net> wrote in
news:e#V4PuoHGHA.3064@TK2MSFTNGP10.phx.gbl:
ASP.NET permet le concept d'impersonnalisation. Cela permet au server
ASP.NET de prendre l'identité de n'importe quel utilisateur Windows du
Domain.
Merci pour votre réponse, mais nous n'avons pas de domaine Windows mais
Linux.
Et cette application doit être utilisable par d'autres sociétés du groupe
qui se trouvent un peu partout dans le monde, et où chacun a une config
différente (Linux, Windows, Novell, ...). Le seul dénominateur commun est
l'utilisateur Oracle.
En exemple d'utilisation de source externes pour l'authentification : http://msdn.microsoft.com/msdnmag/issues/05/04/Security/ -- Paul Bacelar MVP VC++
"TheHach" wrote in message news:
"Paul Bacelar" wrote in news:e#:
ASP.NET permet le concept d'impersonnalisation. Cela permet au server ASP.NET de prendre l'identité de n'importe quel utilisateur Windows du Domain.
Merci pour votre réponse, mais nous n'avons pas de domaine Windows mais Linux. Et cette application doit être utilisable par d'autres sociétés du groupe qui se trouvent un peu partout dans le monde, et où chacun a une config différente (Linux, Windows, Novell, ...). Le seul dénominateur commun est l'utilisateur Oracle.
