Sécurité et passerelles WAP
Mise à jour : novembre 2007
Une passerelle WAP (Wireless Application Protocol) représente un intermédiaire, qui déchiffre la connexion SSL de l'utilisateur et rechiffre les informations pour les envoyer au périphérique mobile.
.gif "Remarque") Remarque : |
|---|
Pour maintenir la protection du canal de transfert des données, WAP utilise le protocole WTLS (Wireless Transport Layer Security). |
Pour les navigateurs d'ordinateurs de bureau, lorsque vous vous connectez à un site via SSL/TLS, votre navigateur vérifie automatiquement que la partie domaine de l'URL correspond au domaine du certificat X.509 présenté par le serveur HTTPS, lorsque vous vous connectez à ce dernier. Les certificats SSL sont inviolables, car la signature de chiffrement est vérifiée par rapport aux certificats racines des principales autorités de certification. Cette vérification garantit que le demandeur est connecté à l'hôte approprié et vous permet de vous protéger contre une attaque d'un intermédiaire.
De nombreuses passerelles WAP n'effectuent pas cette vérification ou, si elles la font, ne renvoient pas à l'utilisateur les informations de non-correspondance.
Les opérateurs de communication sans fil permettent de mettre en œuvre une certaine sécurité entre le périphérique sans fil et la station de base, ainsi que sur le réseau physique qui connecte les stations de base et les centres de commutation. Toutefois, les mesures de sécurité des opérateurs s'arrêtent au réseau ; elles ne constituent pas une sécurité interplateforme, de bout en bout, pour les périphériques sans fil. Par exemple, l'accès Internet par le WAP introduit une vulnérabilité potentielle lorsque le protocole WTLS (Wireless Transport Layer Security), qui permet de garantir une connexion restreinte entre le périphérique mobile et la passerelle WAP, se transforme en connexion SSL entre la passerelle WAP et le serveur Web. Certaines sociétés s'orientent vers un contrôle en entreprise de leurs passerelles pour s'assurer de leur fiabilité.
Pour plus d'informations sur la sécurité, consultez les sections Sécurisation des applications et Sécurité des applications Web ASP.NET de la documentation du Kit de développement logiciel (SDK) Windows.
Voir aussi
Concepts
Conception de pages Web Forms mobiles sécurisées
Modèle de chiffrement de .NET Framework
Référence
Autres ressources
Indications de codage sécurisé
Accès aux données avec ASP.NET