Opérations financières sécurisées avec ASP.NET

L'objectif de cet article est de montrer comment nous pouvons créer une application sécurisée pour assurer les opérations financières.

D'abord, nous commençons par le développement de l'architecture.

Pour rendre notre application sécurisée, nous pouvons utiliser une architecture à trois couches. Cela signifie que nous avons partagé notre application en trois couches – la couche de base de données, la couche de logique d’affaires, et la couche de présentation. Ces couches sont illustrées sur la figure 1:

Pourquoi faire cela? Sur l'image, nous pouvons voir que seule la couche de présentation est disponible sur le web, donc nous minimisons les risques que notre demande sera brisée par des pirates, parce que la couche de logique d’affaires n'a pas accès à l'Internet. Nous pouvons également améliorer ce système en ajoutant la restriction IP pour les requêtes entrantes sur le BL Server. Communiquer avec la couche de présentation en utilisant les services Web rend notre présentation indépendante de la plateforme, et dans l'avenir, nous serons en mesure d'ajouter facilement, par exemple, un agent mobile qui va utiliser les services Web existants pour le travail. Le DB indépendant a également été utilisé pour les objectifs précédents, et nous pouvons ainsi ajouter la restriction IP. Donc, si vous implémentez ce régime, vous allez faire un excellent travail pour améliorer la sécurité de votre application.

Prochaine étape pour améliorer la sécurité avec SSL.

Par défaut toutes les requêtes utilisent le protocole HTTP, qui n'est pas sécurisé. Tout le trafic est envoyé par http comme un texte clair, donc n'importe qui peut "écouter" votre serveur et recueillir toutes les informations nécessaires. Pour éviter cela, on utilise le protocole SSL qui crypte le canal entre le navigateur et le serveur. Lorsque vous configurez IIS, vous pouvez prêter attention à plusieurs paramètres pour SSL:

• Ignorer le certificat client;
• Accepter le certificat du client;
• Exiger un certificat de client.

Lorsque vous utilisez le réglage "Ignorer le certificat client", votre chaîne sera sécurisée, mais n'importe qui peut envoyer une requête au serveur. Ce mécanisme est utile pour les formulaires de connexion et d'autres formulaires où les utilisateurs envoient des informations sécurisées. Si vous choisissez d'accepter les certificats, votre serveur vous demandera un certificat, mais ne refusera pas nécessairement l’accès si le certificat n'est pas fourni. Si vous sélectionnez «Exiger les certificats clients », l'utilisateur doit fournir un certificat valide ou l'utilisateur recevra un message d'erreur. En sélectionnant l'option "Exiger" nous couvrons deux problèmes de sécurité: seuls les utilisateurs disposant d'un certificat client valide peuvent accéder au serveur, la connexion est alors vraiment chiffrée; et vous savez qui travaille avec le serveur (parce que vous pouvez suivre les utilisateurs enregistrés et leurs certificats). Nous utilisons également ce type SSL entre nos serveurs afin de protéger les canaux entre nos applications.

Et la dernière étape est l’enregistrement.

Vous devez vous connecter avant toutes les opérations importantes, comme les événements d'authentification, des tentatives de connexion, toutes les opérations pour l'écriture / modification de la date, la lecture des données sécurisées, les événements des serveurs, etc. Si le système d’enregistrement est mis en œuvre correctement, il nous permet de détecter les attaques, de diagnostiquer les erreurs et de récupérer des attaques. Je recommande également la mise en œuvre d'un mécanisme pour le hachage des entrées, ce qui empêche notre système de changer de mot de passe.

Dans cet article, nous avons examiné certains mécanismes pour la conception d'une application sécurisée. Si vous utilisez ces règles tout en développant votre application, vous augmenterez certainement la sécurité.

Industries et secteurs technologiques

Industries: finance, banque, gestion d'investissement, gestion d'actifs

Domaines de technologie: développement de logiciels, ASP.NET, SSL, architecture à trois couches, http