Sécurité en ingénierie du Logiciel : Le cadre des Web Services.

Cours dans le cadre : MIM - DESS SSIC

Début des cours : Vendredi 3 octobre 2003 (14h-18h)

Intervenant : Alexandre Dulaunoy (adulau @ foo .be)

Objectifs

L'objectif de ce cours est, d'une part, d'introduire deux concepts : la sécurité dans le développement logiciel et les services web¹. La majorité des problèmes de sécurité informatique résultent de logiciels contenant des erreurs aussi bien liées à la sécurité qu'à des erreurs d'implémentation. La démonstration de ces erreurs et leurs corrections est un des objectifs du cours en même temps que la présentation théorique des Services Web (XML-RPC, SOAP) et des processus relatifs (WSDL, UDDI et REST).

D'autre part, le cours démontrera la complexité de réaliser un développement logiciel qui prend en compte la sécurité dés le début du processus de création. Des méthodes appliquées au développement de services web seront présentées (et mises en pratique lors de TD et TP) pour mettre en évidence les questions de sûreté du logiciel.

Plan du cours

Introduction
   Sûreté du logiciel
   Services Web
   L'ensemble

Introduction aux composantes utilisées par les Services Web

Introduction à XML-RPC
Programmation XML-RPC

Introduction à SOAP
Programmation SOAP

Description de Web Services (WSDL)

UDDI : Annonce et découverte de services

REST

Implémentation de la sécurité dans les Web Services 
	Authentification et échange de clés
	Validation des entrées
	Contrôle d'acccès
	Sécurité et protocoles réseaux

Support de cours

3 octobre 2003 Questionnaire --- slide partie 1 : Introduction aux services Web --- slide partie 2 : le protocole HTTP
10 octobre 2003 slide partie 3 : Une simple introduction à XML --- slide partie 4 : Une introduction à XML-RPC--- TP1 - Client XML-RPC
17 octobre 2003 slide partie 5 : Authentification (HTTP) --- TP2 - Serveur XML-RPC et Authentification --- TP2 quest?
24 octobre 2003 slide partie 7 : Introduction à SOAP --- slide partie 8 : Web Services et Sécurité des messages
31 octobre 2003 Congé
7 novembre 2003 slide partie 9 : WSDL --- TP3 - Infrastructure et Web Services
14 novembre 2003 slide partie 10 : Sécurité des serveurs HTTP (WEB) --- TP4 - Un connecteur SOAP pour le TP2
12 décembre 2003 slide partie 11 : Programmation sécurisée : bonnes pratiques --- (Clôture des TPs - à rendre pour le 15 décembre 2003)
19 décembre 2003 ((test écrit / 14h à 16h - Poncelet) support test écrit--- slide partie 12 : UDDI - Web Services et techniques avancées
Code source LaTeX (relatif à la GFDL) : part1.tex*part3.tex*part3.tex*part4.tex*tp1.tex* tp2.tex*part5.tex*part7.tex*part8.tex*tp3.tex*part9.tex*part10.tex*tp4.tex*part11.tex*part12.tex*test.tex

Documents techniques

Divers documents techniques utilisés lors des cours.

Références bibliographiques

The Practice of Programming, Brian W. Kernighan, Rob Pike - Addison Wesley. 1999. ISBN 0-201-61586-X.
Building Secure Software, John Viega, Gary McGraw - Addison Wesley. Summer, 2001. ISBN 020172152X.
Web Services Essentials, Ethan Cerami - O'Reilly. ISBN 0-596-00224-6.
Programming Web Services with XML-RPC, Simon St. Laurent, Joe Johnston, Edd Dumbill - O'Reilly. June 2001. ISBN 0-596-00119-3.

Références

The Open Web Application Security Project - OWASP Guide to Building Secure Web Applications
Secure Programming for Linux and Unix HOWTO (from C to Python) http://www.dwheeler.com/secure-programs/Secure-Programs-HOWTO.pdf
National Security Agency (Windows, Cisco, ...) Security Recommendation Guides

^[1] On entend par "service web" ("Web Service"), un service basé caractère qui est modélisé par un langage de données et fournit des services (fonctionnalités, informations) via Internet (ou équivalent). D'une façon générale, c'est un moyen de communication dans une infrastructure distribuée entre plusieurs composants.

$Id: webservices.wiki,v 1.7 2004/01/05 09:44:09 adulau Exp $