Discussion :

[jowsuket]

Bonjour,

Il s'agit d'un projet de site Internet. J'y utilise le MemberShip fournit avec le framework asp.NET. J'ai deux Base de données (SQL 2008), une pour le MemeberShip et une pour mon application.
Pour filtrer les enregistrements (de la base de données de mon application) en fonction de l'utilisateur connecté, je procède actuellement de la manière suivante :
Extrait d'une page *.aspx.cs

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
string User_id = MemeberShip.GetUser().ProviderUserKey.ToString();
 
/* Puis utilisation de User_id comme paramètre dans mes requêtes pour filtrer les enregistrements. */

Dans ce cas on constate que MemeberShip.GetUser() doit faire une requête vers la base de données gérant le memeberShip avant chaque fois que je fasse mes requêtes (avec mon paramètre User_id).

De ce fait j'ai pensé à la solution suivante :

Extrait de ma page *.master

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
If(Session["User_id"] == null)
{
  Session["User_id"] = MemeberShip.GetUser().ProviderUserKey.ToString();
}

Extrait d'une page *.aspx.cs

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
string User_id = Session["User_id"].ToString();
 
/* Puis utilisation de User_id comme paramètre dans mes requêtes pour filtrer les enregistrements. */

Les questions qui me viennent alors sont :
Est-ce que cette méthode est risquée en terme de sécurité?
Est-il possible d'altérer une Session (par un utilisateur malveillant)?
Est-ce que une de ces solutions est viable? Si non, que proposez vous?

Merci d'avance

[Immobilis]

Salut,

Est-ce que cette méthode est risquée en terme de sécurité?

Pas trop. L'information de session est stockée sur IIS. Il y a donc moins de risque à utiliser une session qu'un cookie.

Est-il possible d'altérer une Session (par un utilisateur malveillant)?

Il parait que c'est possible. Peut-être pas de l'altérer mais de le récupérer.

Est-ce que une de ces solutions est viable? Si non, que proposez vous?

C'est plutôt viable. Quel est le niveau de confidentialité? A quoi correspondent les données à protéger?
Utilise le protocole https pour crypter les échanges de données.

A+

[jowsuket]

Les données ne sont pas vraiment sensibles, mais comme tout bon développeur qui se respecte "j'essaye" de mettre en place une application la plus "safe" que possible. De plus à l'école on n'arrête pas de nous dire qu'il faut développer en faisant comme si les utilisateurs sont tous potentiellement méchants
Dans mon cas il s'agit juste de faire en sorte que l'utilisateur X n'ait pas le droit de voire les données de l'utilisateur Y. Donc si un utilisateur ne peut qu'au mieux récupérer son id, cette solution me semble correcte.

Immobilis pour ces éclaircissements!