Forums sur DotNetNuke en français

Accueil
Présentation
Localisation
- Information générale
- Packs de langue fr-FR
  - DotNetNuke version 5
  - DotNetNuke version 4
    - PDL CORE
    - PDL Modules Core
  - DotNetNuke version 3
  - DotNetNuke version 2
  - Archives
- Store
  - Présentation
  - Téléchargement - download
- Packs de langue Module tiers
- Compléments
- Contribuez aux traductions !
Comment faire ?
Communauté
Forums

Vous êtes ici :

| Connexion

Forums

14/09/2007 10:49

morthyn

Inscrit(e) le : 09/07/2007

3 messages

Droit Base de donné (N/A)

Bonjours a tous,

Aprés plusieurs recherche, je ne trouve pas de réponse a un doute que j'ai.

J'aimerai savoir si les droit du user de la base de donné (dans mon cas SQL Server 2005) doit obligatoirement être db_owner ou si on peut limiter les droits de notre utilisateur pour une version 4.X.

Merci.

14/09/2007 16:19

ploum

Inscrit(e) le : 19/04/2006

837 messages

Re: Droit Base de donné (N/A)

Bonjour,

Ha! Le grand sujet que voici. Essayons d'être clair et concis...

J'utilise toujours le droit db_owner pour l'utilisateur défini dans le fichier web.config. Il est peut-être possible de restreindre encore les droits. Mais ce compte doit pouvoir créer des tables et des procédures (pour installer des modules) et effectuer toutes les opérations de base (lecture, écriture, suppression). Certain utilisent le compte sa, ce que je ne conseille pas. D'ailleurs, ce compte devrait être supprimé ou désactivé après avoir créé un compte sous un autre nom avec les mêmes droits. Ceci pour éviter de faciliter les attaques vers les comptes installés par défaut. De plus, lorsque j'ai plusieurs instances sur un même serveur, je créé un compte par base de donnée. Ceci pour éviter d'exposer toutes tes bases, si l'une d'elles à fait l'objet d'une attaque réussie.

Par ailleurs, je recommande vivement la lecture des documentations suivantes lorsque l'on commence à se poser des questions en rapport avec la sécurité :

DotNetNuke Installation Guide.pdf - Beacoup de gens ne la lisent pas et passent trois jours à tenter d'installer DNN. Il y est aussi expliqué les différents modes d'authentifications (Windows ou Windows + SQL) et les niveaux de confiance de .NET.
DotNetNuke Code Access Security.pdf - Plus spécialisé sur les Policy Permissions et Trust Levels de .NET.
Hardening DotNetNuke Installations.pdf - Comme son nom l'indique, elle traite de la sécurisation des installations.

Il faut savoir aussi qu'un membre du Core team est dédié aux problèmes de sécurité (Cathal Connolly) et qu'il existe un bulletin de sécurité sur dnn us ainsi qu'une procèdure pour remonter les failles découvertes afin d'éviter les attaques de type ZeroDay. Côté programmation, le framework propose des méthodes pour éviter les attaques par injection. Encore faut-il que les programmeurs les utilisent ! C'est une des raisons pour laquelle j'achète toujours mes modules tiers AVEC les sources. Au moins, je peux intervenir rapidement en cas de besoin.

Enfin, tu peux aller faire un tour sur Secunia et le CERT-US pour faire une recherche sur leur base avec le mot clé DotNetNuke. Tu verras que les failles ne sont pas légion comparé à certains autres produits du même type.

Je pourrais encore t'écrire quinze pages sur la sécurité en général, car la sécurité c'est un ensemble (OS, Firewall, Anti-virus, patch de sécurité, ...) pas seulement le produt frontal !

Gilles

Page 1 sur 1

Accueil | Forums