Security Runtime Engine (SRE) : module HTTP de sécurisation d’existant pour ASP.NET/IIS
Nos amis impliqués dans le développement et la maintenance d’applications ASP.NET seront peut être intéressés par la projet Security Runtime Engine (SRE) dont le CISG nous donne un petit aperçu : A Sneak Peak at the Security Runtime Engine
Le but de ce module HTTP est de fournir une protection à une application ASP.NET sans la modifier, ce qui peut donc être particulièrement intéressant pour un existant présentant quelques problèmes ne pouvant être traités par maintenance directe, par faute de budget notamment.
A l’heure actuelle il est centré sur les problèmes de Cross Site Scripting (XSS) en fournissant un encodage automatique de certaines propriétés de contrôles.
Apparemment il réalise ceci au moyen d’une nouvelle version de l’Anti-Cross Site Scripting Library dont je vous avait parler il y a quelques temps.
La fin du post d'introduction indique :
- que ce module pourrait à l’avenir (dans des versions ultérieures, les fonctionnalités de la version courante sont fixées) traiter d’autres problèmes de sécurité (dont ceux d’injection SQL comme pourrait le laisser penser l’évocation en début du post ?)
- qu’une beta interne va démarrer, avec une probable beta publique dans les mois qui suivent
Affaire à suivre donc, pour les intéressés, sur le blog du CISG.
Ce post vous a plu ? Ajoutez le dans vos favoris pour ne pas perdre de temps à le retrouver le jour où vous en aurez besoin :
