http://www.dotnetguru.org/articles/dossiers/etendreASPnet/EtendreASPNET.htm

Il s’agit là d’un outil intéressant à avoir dans votre palette, je m’en sers assez souvent, par exemple pour écrire des modules SEO.

J’avais évoqué la création de ASHX. A l’époque leur écriture était pénible (pas d’Intellisense, doc évanescente et aucune possibilité sérieuse de débogage). Depuis j’ai toujours en tête de compléter cet article avec les améliorations que Microsoft a apporté.

Alors le voici.

Les défauts d’ergonomie des ASHX ont été corrigés depuis VS 2005. Donc plutôt que de créer une page ASPX pour gérer des infos ou des dialogues purement techniques avec votre site, pensez ASHX. Pensez aussi ASHX pour gérer des fonctionnalités comme les download. C’est vraiment très simple et efficace.

Depuis ASP.NET 4.0, on dispose également d’une petite amélioration concernant les handler http.

Pour activer les états de session, il fallait décorer la classe avec l’interface IRequiresSessionState. Une bien curieuse façon de faire je trouve.

Les choses se sont améliorées avec la méthode HttpContexte.Current.SetSessionStateBehavior().
Rappelons que votre page Web est un handler http.

Voilà, blog pas bien long, mais je pense utile.

Ceux d'entre vous qui ont créé le fichier depuis Visual Studio ont remarqué que le fichier a un comportement bizarre une fois lancé depuis la ligne de commande.

Un message d'erreur autour d'un mystérieux caractère: ∩╗┐ apparaît.

La raison en est que par défaut Visual Studio créé des fichier en UTF-8 et place en début de fichier un caractère appelé "marque d'ordre des octets" par les experts de l'encodage.

Allez voir sur Wikipedia ce dont il s'agit:

http://fr.wikipedia.org/wiki/Marque_d%27ordre_des_octets

Jusqu'à présent je préférai créer mon fichier depuis Notepad++ et l'inclure dans la solution. Mais au détour d'un forum j'ai appris que VS est capable de créer des fichiers dans d'autres formats et c'est très simple.

1. Créez votre fichier texte comme auparavant
2. ouvrez le
3. allez dans le menu File/Save as...
4. Remarquez que le bouton Enregistrer à une petite flèche sur sa droite, cliquez dessus
5. Une fenêtre "Advanced Save Option" s'ouvre. Choisisssez l'encodage US-ASCII

Et voilà l'affaire est réglée.

Le forum est ici:

http://stackoverflow.com/questions/854360/visual-studio-inserts-invalid-characters-in-batch-files

PS: ceux qui commentent ce blog ont du remarquer que votre post met du temps pour apparaître. Plusieurs semaines.

C'est parce que je suis supposé valider avant la publication et que je ne le fais pas régulièrement!!!!

Je m'en excuse d'avance.

Je cède donc au chantage de la foule et y réponds !

J’y réponds, vite dit, je reproduits juste la réponse publiée par Raymond Chen sur son blog que j’adore: The Old New Thing [1].

La réponse courte est que valider qu’un mot de passe est incorrect n’est pas aussi simple que cela en a l’air.

Lorsque vous vous loguez la première fois, Windows place le mot de passe dans un cache spécial [2, 4] qui conserve les mots de passe des 10 derniers utilisateurs. Ainsi si vous verrouillez votre session, le déverrouillage sera instantané car Windows considère que si le mot de passe est placé dans le cache alors il est réputé validé.
Le cache permet même de se reconnecter si par hasard vous n’aviez plus de connexion à ce moment là.

Evidement vous allez me dire que même sans être connecté à mon serveur de domaine favori, je peux tout de même me reconnecter à ma machine.
Encore une fois c’est le cache de mots de passe qui agit dans les coulisses.

Je ne le savais pas, mais il est possible de le désactiver pour faire une blague désopilante à un collègue qui part faire un avant vente en clientèle par exemple [3].

…

Déconnez pas les gars !
La vraie raison de cette possibilité est simplement de garantir qu’il est impossible de se connecter dans un contexte de sécurité obsolète.

Revenons à notre histoire. Il y a 3 cas de figure :

1. Le mot de passe saisi se trouve dans le cache. Super, il est donc valide et on se connecte direct, c’est rapide.
2. Il n’est pas dans le cache : il faut interroger le contrôleur de domaine, c’est plus ou moins long.
3. Il est dans le cache, mais la saisie est invalide. Dans ce cas on retourne immédiatement KO et c’est rapide…
   
   Vraiment ?

Et bien pas tout à fait. Il se pourrait parfaitement que la saisie soit en fait valide, mais que ce soit juste le hachage stocké dans le cache qui ne l’est plus parce que votre admin adoré (ou vous-même) a modifié le mot de passe depuis un autre machine. Il faut donc tester ce cas de figure là aussi en interrogeant le contrôleur de domaine.
Evidement ce n’est pas gratuit.

Il existe une autre raison plus subtile qui explique que tester un mot de passe invalide soit un peu plus long : le système ajoute automatiquement quelques secondes d’attente.
C’est bizarre vu comme cela, mais cette mesure limite le risque d’attaques avec des dictionnaires de mots de passe en augmentant de façon rapidement disproportionnée le temps moyen nécessaire pour craquer le mot de passe.

Bibliographie

[1] The Old New Thing
http://blogs.msdn.com/oldnewthing/archive/2010/03/23/9983312.aspx
[2] Sécurité des informations d'identification mises en cache dans Windows Server 2003, dans Windows XP et dans Windows 2000 (en français !!!!)
http://support.microsoft.com/kb/913485
[3] Restricting cached credentials in Windows
http://searchwinit.techtarget.com/tip/0,289483,sid1_gci968000,00.html
[4] Windows Confidential
http://technet.microsoft.com/en-us/magazine/2009.07.windowsconfidential.aspx

Je vais devenir riche et célèbre, à côté les Turing, Gates et autres Jobs deviendront des confrères, sympas, gentils et motivés, mais des confrères.

Qu'ai-je réussi d'extraordinaire????

J'ai trouvé comment on fait un diaporama PowerPoint SANS fond sonore. Si si, rien que ça.

La technique est complexe je l'avoue et d'ailleurs j'organise des formations si vous avez du mal.

Voici comment faire:

1. Vous n'allez pas dans l'onglet Insertion
2. Si vous devez aller dans cet onglet pour des raisons professionnelles. Vous ne cliquez pas sur l'icône SON qui est tout à droite.

Je n'explique pas encore bien comment cela arrive, mais peut être les MVP qui me lisent ont des infos qui ne soient pas NDA. Et bien cela n'insère AUCUN fond sonore.

J'en voit dont la machoire vient de tomber à terre.

J'ai découvert cette semaine par hasard qu'en fait c'est relativement inutile puisque l'algorithme de démarrage de VS est plus intelligent que moi.

Au lancement de l'application il "regarde" dans quelle fenêtre se trouve le curseur souris et c'est dans cette fenêtre qu'il lance l'application.

J'ai fais des essais, cela ne marche bien qu'avec les applicatons WPF.

Et la cerise sur le gâteau: le comportement est en fait un standard de l'application. Lancez votre EXE indépendemment de VS et ça marche!!!!

Comment faire pour obtenir des informations de plus bas niveau que de simplement constater que cela ne marche pas ?

Dans le cas où une exception est levée, le plus simple est de faire View/Output et regarder ce qui se passe dans la console de sortie. On va par exemple trouver ceci :

System.Windows.Data Error: 4 : Cannot find source for binding with reference 'ElementName=zoomSlider'. BindingExpression:Path=Value; DataItem=null; target element is 'ScaleTransform' (HashCode=34917486); target property is 'ScaleX' (type 'Double')

Parfois ce n’est pas suffisant ou bien le binding ne lève pas d’exception, mais ne se lie pas à la source que l’on pense.

Ouvrez alors votre code XAML et déclarez l’espace de noms suivant :

xmlns:diag="clr-namespace:System.Diagnostics;assembly=WindowsBase" 

Vous pouvez lui attribuer le tagkey que vous souhaitez, j’ai choisis diag, mais zjergtziuyaziuefgapiugzpiufgzffiudgf fait aussi l’affaire si cela vous paraît plus clair !

L’étape suivante consiste à repérer le binding que l’on souhaite auditer, dans notre cas :

<ScaleTransform ScaleX="{Binding ElementName=zoomSlider,

                Path=Value}"

                ScaleY="{Binding ElementName=zoomSlider,

                Path=Value}" />

</TabControl.LayoutTransform>

On effectue la modification suivante :

<ScaleTransform ScaleX="{Binding ElementName=zoomSlider,                          Path=Value,                             diag:PresentationTraceSources.TraceLevel=High}"                 ScaleY="{Binding ElementName=zoomSlider,                 Path=Value}"/> </TabControl.LayoutTransform>

On relance et consulte à nouveau la console de sortie. On retrouve évidemment les deux messages précédents, mais avant :

System.Windows.Data Warning: 63 : BindingExpression (hash=42815147): Resolving source System.Windows.Data Warning: 66 : BindingExpression (hash=42815147): Found data context element: <null> (OK) System.Windows.Data Warning: 70 :     Lookup name zoomSlider:  queried DockPanel (hash=64981649) System.Windows.Data Warning: 63 : BindingExpression (hash=42815147): Resolving source System.Windows.Data Warning: 66 : BindingExpression (hash=42815147): Found data context element: <null> (OK) System.Windows.Data Warning: 70 :     Lookup name zoomSlider:  queried DockPanel (hash=64981649) System.Windows.Data Warning: 63 : BindingExpression (hash=42815147): Resolving source  (last chance) System.Windows.Data Warning: 66 : BindingExpression (hash=42815147): Found data context element: <null> (OK) System.Windows.Data Warning: 70 :     Lookup name zoomSlider:  queried DockPanel (hash=64981649)

Le log me dit que WPF va chercher le DataContext dans un DocPanel. Or mon binding ne se trouve pas dans un DockPanel ?

Que se passe-t-il ?

Je fais une recherche dans les différents XAML et découvre un ScaleTransform oublié dans un UserControl. A l'origine c'est lui qui contenait le Slider, mais j'ai déplacé celui-ci et oublié le ScaleTransform.

Une fois celui-ci supprimé, tout est rentré dans l'ordre !

Moralité : utilisez des ressources plutôt qu'une déclaration directe dans les templates !!!!

Dans un de ses blogs, Thomas Lebrun propose un script de validation des bindings :

http://blogs.developpeur.org/tom/archive/2008/11/06/wpf-valider-les-binding-wpf.aspx

Honnêtement je ne suis pas arrivé à comprendre ce qu'il valide au juste ! Si quelqu'un a une idée ?

AJOUT: je viens de trouver ce blog de Bea Stollnitz qui aborde la même question, mais avec des méthodes supplémentaires:

http://bea.stollnitz.com/blog/?p=52

un peu d'orthographe

• En anglais on écrit : connection
• Par contre en français : connexion, avec un x.

Allez donc relire votre doc et vos commentaires…

Sauver une chaîne dans une application .net

Examinons différents conteneurs, sans prétendre être exhaustif.

Le code

Cette possibilité est assez rare car dans la majorité des cas il s’agit plutôt d’une faute de codage. Avant de l’adopter, évaluez en les avantages et les inconvénients avec soin.

Le fichier de configuration

Depuis .NET 2.0 est apparue la structure <connectionStrings>.
Par exemple :

<connectionStrings>
  <add name="nomChaineConnexion" connectionString="XXXXXXXX"/>
</connectionStrings>

name: Nom du conteneur
connectionString: Chaîne de connexion

Côté code, la récupération de la chaîne se fait ainsi :

ConnectionStringSettings chaine = ConfigurationManager.ConnectionStrings["nomChaineConnexion"];

Le nom du conteneur peut faire l’objet d’une entrée dans la section <appSettings > que l’on peut alors relire en interrogeant le dictionnaire ConfigurationManager.AppSettings.

La classe ConnectionStringSettings propose diverses propriétés, mais celle qui vous intéressera le plus est ConnectionString qui est du type String et retourne biens sûr notre chaîne.

Qu'en est t'il côté sécurité?

Par défaut ASP.NET est configuré pour ne jamais télécharger le fichier web.config. On n’a donc pas de risque de le voir apparaître en navigant sur le site.

Le réglage est fait dans le fichier web.config par défaut situé dans :

%SystemRoot%\ Microsoft.NET\Framework\v2.0.50727\CONFIG

Ce fichier est apparu avec .NET 2.0, le paramétrage se trouve dans machine.config dans les versions antérieures de .NET.

Ce dernier fichier se trouvant hors répertoire virtuel, il est donc considéré comme raisonnablement sûr pour une application Web, d’autant plus que des ACL sont posées sur ce fichier lors de l’installation de .NET.

La protection contre les attaques extérieures est donc sûre.

On peut encore augmenter la sécurité en cryptant la chaîne de connexion à l’aide de l’outil aspnet_regiis.exe livré avec ASP.NET.
Faisons ensemble une petite démonstration, mais sinon reportez vous à la référence [6] pour plus de détails.
Par exemple (mais d’autres syntaxes existent):

aspnet_regiis -pef "connectionStrings" "C:\Projets\...."

Notez que l’un des paramètres est la section que l’on souhaite crypter, on n’est donc pas limité aux chaînes de connexion.
Le résultat ressemble à ceci :

<connectionStrings configProtectionProvider="RsaProtectedConfigurationProvider">
    <EncryptedData Type="http://www.w3.org/2001/04/xmlenc#Element"
      xmlns="http://www.w3.org/2001/04/xmlenc#">
      <EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#tripledes-cbc" />
      <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
        <EncryptedKey xmlns="http://www.w3.org/2001/04/xmlenc#">
          <EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-1_5" />
          <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
            <KeyName>Rsa Key</KeyName>
          </KeyInfo>
          <CipherData>
            <CipherValue>BkzayktAAs….BDkjEuG3ZVRs/M=</CipherValue>
          </CipherData>
        </EncryptedKey>
      </KeyInfo>
      <CipherData>
        <CipherValue>UFds9Ssuc6+gHRwt3G…bWqQS31ha</CipherValue>
      </CipherData>
    </EncryptedData>
  </connectionStrings>

Notez plusieurs choses importantes :

• C’est transparent pour votre code
• L’opération est réversible
• Le résultat du cryptage est, par défaut, spécifique à la machine sur lequel il a été effectué, mais il est possible de mettre en place un conteneur RSA particulier comme expliqué en [7]

A ma connaissance cet outil ne s’applique qu’au fichier web .config, du moins je ne suis pas parvenu à l’appliquer à un fichier de configuration d’une application console. Si quelqu’un sait faire sans avoir à renommer le fichier…

Fichier udl (universal data link)

Pour créer un fichier udl :
• Naviguez jusqu’au répertoire où vous souhaitez le déposer
• Créez un fichier texte avec l’extension .udl
• Double cliquez dessus. Une fenêtre suivante s’ouvre
• Remplissez la boite de dialogue.

Une fois terminé, le fichier contiendra la chaîne de connexion complète.

Au sujet du choix du fournisseur, notez que seul OLE DB est supporté par ADO.NET avec les fichiers udl. Mais c’est un moyen que j’aime bien utiliser pour construire une chaîne de connexion.

Côté code maintenant. Disons que votre fichier se nomme monFichierAMoi.udl.

OleDbConnection myConnection = new OleDbConnection("File Name = c:\\monFichierAMoi.udl");

Vous trouverez plus d’infos en [1] et [2].

Côté sécurité?

Ne surtout pas placer le fichier udl dans le répertoire virtuel car il ne sera pas protégé du téléchargement. Pour éviter de possibles bugs de canonicalisation [3], [4], il est même préférable de le disposer dans un volume logique différent de celui du site.

Comme tout fichier critique, il doit être protégé par des ACL adaptés. A ce titre l’accès au fichier udl peut être mieux protégé que celui de web.config car on peut le rendre accessible à nettement moins de comptes. Il y aura au moins MachineName\ASPNET qui n’a besoin que d’un accès en lecture.

Dans la mesure où le fichier udl peut être modifié à l’insu de l’application, celui-ci n’est pas mis en cache, mais lu à chaque appel. Cela peut avoir un impact sur les performances

Il n’est pas possible d’encrypter les fichiers udl.

Fichier personnalisé

Cette option n’est intéressante que si le fichier est placé en dehors du répertoire virtuel pour des raisons de sécurité.
Il doit être protégé par des ACL restrictives et idéalement placé dans un volume distinct de l’application.

Le registre

Pour que l’application ASP puisse y accéder, vous devrez placer la chaîne de connexion dans HKLM. Vous devrez également :
• Protéger la clef avec un ACL
• L’encrypter (voir [5] pour une procédure)

Créer un DSN

Un DSN (Data Source Name) est simplement un fichier avec toutes les informations pour identifier une source de données accessible via ODBC.

Il existe deux types de DSN :
1. Les DSN utilisateur qui ne sont visible que d’un utilisateur sur la machine où le DSN est déployé
2. Les DSN système qui sont accessibles à tous les utilisateurs d’un même système ou connectés au système

Comment faire ?

Il faut rechercher dans le panneau de contrôle le lien vers un utilitaire appelé « ODBC Manager » ou bien « Source de données ODBC ». On le lance et on obtient une fenêtre avec différents onglets. On sélectionne "Source de données système".

Vous trouverez en [14] un tutoriel très bien fait qui vous expliquera la suite.

Côté code rien de très compliqué, vous ouvrez une connexion avec OdbcConnection et créez une chaîne de connexion indiquant juste le nom du DSN avec le mot clef DSN.

Utiliser une chaîne fournie par l'utilisateur

Il peut arriver que la chaîne doive être construite dynamiquement ou bien construite à partir d’informations saisies par l’utilisateur. Dans ce dernier cas, c’est une assez mauvaise idée de le laisser saisir la chaîne elle-même.

Il est plutôt recommandé d’utiliser une des implémentations de la classe DBConnectionStringBuilder pour construire de façon sécurisée une chaîne de connexion. Par exemple pour un fournisseur SQL Server:

SqlConnectionStringBuilder builder = new SqlConnectionStringBuilder();
builder.IntegratedSecurity = false;

string maChaine = builder.ConnectionString;

En standard on dispose des implémentations suivantes:
1. SqlConnexionStringBuilder
2. OracleConnexionStringBuilder
3. OdbcConnexionStringBuilder
4. OleDbConnexionStringBuilder

La classe de base DBConnexionStringBuilder vous permettra de fournir votre implémentation pour d’autres cas.
Cette classe est également intéressante si vous souhaitez analyser le contenu d’une chaîne de connexion.

Comment construire une chaîne de connexion

On a déjà vu trois procédés :
1. L’écrire directement à la main
2. Construire un fichier udl et y lire la chaîne résultante
3. Utiliser une classe dérivée de DBConnexionStringBuilder

On peut aussi trouver des exemples de chaînes de connexion toutes faites ici :

http://www.connectionstrings.com

Mais aussi ici :

http://connectionstringexamples.com

Vous y trouverez des centaines d’exemples de chaînes de connexion pour de nombreuses bases de données.
Retenez au moins ceci :

• Les noms ne sont pas sensibles à la casse (mais les valeurs éventuellement, exemple les mots de passe)
• Les valeurs ne sont pas typées
• Si une même paire nom=valeur apparaît plusieurs fois, seule la dernière sera prise en compte
• Mais : si le mot clef PROVIDER apparaît plusieurs fois, c’est le premier qui est pris en compte !!!!
• Les valeurs true ou false peuvent aussi s’écrire yes ou no

Vous trouverez plus d’informations ici :

http://www.connectionstrings.com/Articles/Show/important-rules-for-connection-strings

On trouve quoi dans une chaîne de connexion

A ma connaissance il n’existe pas de norme particulière, chaque conteneur de données y place ce qu’il souhaite. Mais on retrouve malgré tout une certaine systématique.

L’article qui suit liste la plupart des paramètres que l’on peut rencontrer dans une chaîne de connexion avec leurs valeurs par défaut :

http://www.connectionstrings.com/Articles/Show/all-sql-server-connection-string-keywords

Comme vous le constatez, il y a beaucoup de synonyme.

INITIAL CATOLOG

On rencontre aussi DATABASE. Désigne la base de données associée à la connexion.

DATA SOURCE

Ou aussi SERVER et plein d’autres d’ailleurs !

Nom ou adresse réseau de l’instance de la base de données à laquelle se connecter.

Ce que j’ai appris récemment est que l’on peut y passer le nom du protocole de communication utilisé :

DATASOURCE=np :

using (SqlConnection connnexion = new SqlConnection("Persist Security Info=false;Data Source=.;Initial Catalog=Northwind;Uid=IsgUser;Pwd=ISGuser!"))
{
    string avant = connnexion.ConnectionString;
    connnexion.Open();
    string apres = connnexion.ConnectionString;

    using (SqlCommand commande = connnexion.CreateCommand())
    {
        commande.CommandText = "select * from Customers";
        using (SqlDataReader reader = commande.ExecuteReader(CommandBehavior.CloseConnection))
        {
            int ordinal = reader.GetOrdinal("CompanyName");

            while (reader.Read())
            {
                Console.WriteLine(reader.GetString(ordinal));
            }
        }
    }
}