[ASP .NET/IIS] Comprendre le concept d’identité, privilège et d’authentification utilisateur sous IIS et ASP .NET

Après divers audits chez des clients concernant des applications ASP .NET, je me suis rendu compte, que bon nombre de développeurs (et d’administrateurs systèmes) n’avait aucune connaissance (ou alors très limitée) sur la sécurité et l’authentification concernant les applications ASP .NET fonctionnant sous IIS 6.0 ou IIS 7.0. Certains n’hésitent pas à donner des droits administrateurs à leurs applications présentes sur internet, offrant ainsi une porte grande ouverte aux utilisateurs mal intentionnés !

(suite…)