Considérations sur la sécurité de XML

par Sharon L. Hoffman, Mis en ligne le 24/05/2006 - Publié en Janvier 2006

En tant que consommateurs, nous sommes tous soucieux de sécurité et de discrétion. Nous redoutons la fraude à la carte de crédit lors des achats en ligne, nous confions prudemment des données confidentielles comme le numéro de sécurité sociale, et beaucoup d’entre nous s’inquiètent de voir que les professions de santé partagent des données médicales électroniquement. Il est donc curieux que beaucoup d’entre nous se soucient fort peu du risque potentiel de sécurité, de confidentialité et d’intégrité des données, que présente la transmission d’un document non crypté comme pièce jointe de courriel ou via FTP.Quand les données sont codées pour les rendre plus portables, les risques de divulgation sont encore plus grands, parce que les intrus ont beaucoup plus « d’information sur l’information » - ce qu’on appelle les métadonnées – pour évaluer facilement la valeur des messages interceptés. Le plus répandu de ces procédés d’encodage est XML – une lingua franca puissante pour déplacer des enregistrements de gestion entre des réseaux et des plates-formes informatiques. La sécurité et l’intégrité des données revêtent une importance toute particulière quand les entreprises commencent à utiliser XML pour échanger des données.
Heureusement, les inventeurs de XML ont prévu le besoin de sécuriser la transmission et ont intégré le cryptage des données dans le standard. Apprenez à crypter correctement des documents XML pour les transporter en toute sécurité, et vous supprimerez une faille importante du dispositif de sécurité de l’entreprise.

Les VPN SSL simplifient la sécurité des utilisateurs distants

par Mel Beckman, Mis en ligne le 24/05/2006 - Publié en Janvier 2006

S’il est une application qui mérite le trophée « killer app » sur Internet, c’est bien le travail en réseau privé virtuel. Les réseaux privés virtuels (VPN, virtual private networks) ont commencé comme une solution compliquée apportée à un problème de sécurité épineux : relier deux réseaux distants par Internet, sans exposer le trafic à l’indiscrétion ou à l’intrusion des pirates. Le but du VPN était alors simplement de remplacer des circuits privés coûteux entre des emplacements. Et donc, les utilisateurs de VPN ont assumé la complexité pour obtenir en échange d’importantes économies mensuelles. Mais les VPN ont connu une forte croissance pour assurer une connectivité sécurisée là où il n’y en avait pas auparavant : télétravailleurs, partenaires professionnels, fournisseurs, clients, employés branchés depuis le Starbucks du coin. La technologie VPN est devenue très bon marché mais, malheureusement, pas beaucoup moins complexe.Cette complexité persistante est due partiellement au protocole qui a remporté la guerre des standards VPN, IPSec (IP Security). Conçu pour fonctionner dans des environnements réseau très divers, du mode commuté au sans fil en passant par la large bande passante, IPSec présente des dizaines d’options configurables. Les fournisseurs de VPN IPSec vendent un logiciel client spécial pour alléger le fardeau de la configuration, mais peu d’entreprises sont prêtes à ajouter encore un autre logiciel propriétaire à leur panoplie. Pourtant, l’autre solution – support IPSec intégré dans les systèmes d’exploitation pour postes de travail – constitue une entreprise de configuration et de dépannage fastidieuse. Fastidieuse pour des spécialistes réseau expérimentés, mais carrément hors de portée de l’utilisateur lambda.

En butte à la résistance des clients face à leur solution utilisateur final IPSec, les fournisseurs de VPN ont imaginé un contournement astucieux : le VPN SSL.
A son niveau le plus élémentaire, une connexion VPN SSL ne demande à l’utilisateur qu’un navigateur Web. Bien sûr, des produits VPN SSL plus élaborés peuvent procurer pratiquement toutes les fonctionnalités d’un VPN IPSec et même un contrôle de stratégie de granularité plus fine. Et tous les produits VPN SSL ont un avantage déterminant : facilité d’installation et d’assistance. Exactement ce que le help desk de n’importe quel administrateur de réseau aime entendre.
Pour comprendre comment vous pouvez utiliser les VPN SSL en lieu et place de leurs frères IPSec, vous devez connaître le spectre des produits et les diverses fonctions qu’ils permettent. Certains produits VPN SSL sont véritablement sans client, tandis que d’autres utilisent des applets Java ou ActiveX légères transférées automatiquement du Web. Certains emploient une simple authentification par ID/mot de passe utilisateur. D’autres ont recours à des certificats numériques de haute sécurité. Certains donnent aux utilisateurs l’accès complet à votre réseau lorsqu’ils sont connectés ; d’autres vous permettent de limiter l’accès aux seules ressources permises par des contrôles appropriés.

Aucun produit VPN SSL ne fonctionne directement sur l’iSeries, donc vous ajouterez encore un autre produit hétérogène à votre attirail. Mais c’est pour la bonne cause.

SQL Server Actualités – Semaine 20 – 2006

Les actualités SQL Server de la semaine du 15 au 21 Mai 2006

SQL Server, nouvelles éditions : Express, Workgroup, Standard et Enterprise

Microsoft a remodelé la famille de produits SQL Server 2005 afin de mieux répondre aux besoins de tous ses clients, quelle que ce soit leur activité, et ce à l’aide de quatre nouvelles éditions : Express (version gratuite), Workgroup, Standard et Enterprise.

Découvrez des informations détaillées sur les différentes éditions.

Les nouveautés de la semaine 20 – Windows IT Pro – 2006

Tous les nouveaux produits de la semaine du 15 au 21 Mai 2006

Les actualités de la semaine 20 – Windows IT Pro – 2006

Toutes les actualités du 15 au 21 Mai 2006

News iSeries – Semaine 20 – 2006

Toutes les actualités de la semaine du 15 au 21 Mai 2006

Mettez-vous en conformité : éliminez les risques majeurs !

par Dan Riehl, Mis en ligne le 10/05/2006 - Publié en Janvier 2006

Jouons à Jeopardy ! « La catégorie est le calendrier IT ».
Pour 400 euros, la réponse est SOX, ISO19977, COBIT, COSO, GLBA, HIPAA, et autres ».
Bip, bip. « Alex, la question est : pour quelles lois, réglementations, standards et structures d’audit, mon entreprise consacrera beaucoup de temps de travail et d’argent en 2005, 2006 et au-delà ? »
« Correct ! Pour 400 euros ! »
Mais est-ce inéluctable ? Nous pouvons et devons réduire le coût et l’effort de pratiquer la conformité et de la démontrer par rapport à la sécurité de notre iSeries. Si nous sommes capables de percevoir les principaux risques et de mettre en oeuvre et d’utiliser des outils intelligents (conjointement aux facultés natives du système d’exploitation) pour identifier et atténuer ces préoccupations, nous pourrons réduire les coûts et démontrer notre conformité, beaucoup plus facilement.

Utiliser .NET pour développer des applications de file d’attente de données iSeries

par Michael Otey, Mis en ligne le 10/05/2006 - Publié en Décembre 2005

Les files d’attente de données sont depuis longtemps l’un des mécanismes de transfert de données les plus rapides sur l’iSeries. Leur vitesse permet d’écrire des applications Windows qui interagissent avec l’iSeries. De plus, comme elles peuvent transporter des données et des messages structurés et non structurés entre deux plates-formes, on peut même les utiliser pour un contrôle d’application bidirectionnel, où l’on peut contrôler et passer des données à une application client Windows ou Web à partir de l’iSeries, ou vice-versa – le tout avec un temps de réponse de moins d’une seconde.Cependant, malgré leur vitesse, les files d’attente de données sont souvent sous-utilisées sur l’iSeries. Et elles sont difficiles à utiliser dans le développement client Windows .NET parce qu’IBM n’a pas encore fourni une composante de file d’attente de données .NET native. Mais, en tirant parti de la capacité de .NET Framework à utiliser directement des objets COM (Component Object Model) existants, vous pouvez employer les possibilités d’accès aux files d’attente de données du provider OLE DB (IBM OLE for Databases) pour utiliser Visual Studio et le .NET Framework dans des applications de files d’attente de données iSeries.

News Exchange : Semaine 19 – 2006

Toutes les actualités du 8 au 14 Mai 2006 pour Exchange Server

Analyseur de bonnes pratiques pour Exchange Server

La version 2.6 (v2.6.7812.3) de l'analyseur de bonnes pratiques pour Exchange Server est désormais disponible sur le site de l'éditeur.

Pour le moment il n'est disponible qu'en anglais et n'est supporté que pour les versions US du produit. Pour les versions locales, c'est toujours la version précédente qui s'applique (v2.5.7720.2).

Maintenance en arrière-plan des serveurs Exchange

par Tony Redmond - Mis en ligne le 11/05/06 - Publié en Mars 2005

Toutes les bases de données ont des structures internes qui doivent faire l’objet d’une maintenance et la banque Exchange Server (Store) ne fait pas exception à la règle. Comme Exchange est conçu pour une disponibilité élevée avec des arrêts les plus réduits possibles, la banque effectue un maximum d’opérations de maintenance en tant que tâches de fond en ligne. Ces tâches sont effectuées chaque nuit afin de garantir la cohérence logique au sein des bases de données de banque de boîtes aux lettres et de banque publique, et afin de supprimer les données indésirables. Examinons les tâches accomplies au cours de la maintenance en arrière-plan nocturne, afin de comprendre pourquoi certaines sont tellement importantes pour le bon fonctionnement d’un serveur Exchange.

Utilisation d’OUTLOOK 2003 en tant que client Windows RMS

par Sue Mosher - Mis en ligne le 11/05/06 - Publié en Mars 2005

Cela fait des années que les administrateurs système soulèvent la question suivante : comment protéger le contenu des messages Outlook contre la copie, le transfert ou l’impression et comment empêcher l’accès à ceux-ci au-delà d’une certaine date ? Jusqu’à récemment, la seule solution résidait dans l’utilisation d’outils et services tierce partie. Citant son initiative baptisée « Trustworthy Computing » (Informatique de confiance) et le besoin de protéger la confidentialité des informations numériques, Microsoft s’est lancé dans le domaine des produits de protection des documents et des messages en proposant Windows Rights Management Services (RMS) pour Windows Server 2003 (http://www.microsoft. com/windowsserver2003/rm).Ces services ne doivent pas être confondus avec Digital Rights Management (DRM), la plateforme Microsoft destinée à assurer une distribution sécurisée des fichiers vidéo, audio et autres fichiers de médias numériques, afin que les utilisateurs puissent les lire uniquement sur les ordinateurs disposant d’un numéro de licence valide. A la différence de ce système, la fonctionnalité de gestion des droits relatifs à l’information (IRM) mise en oeuvre par RMS permet aux organisations de définir les utilisateurs autorisés à travailler sur un document ou un courrier électronique et les actions que ces personnes sont en droit d’effectuer.

RMS comporte les composants suivants : un serveur Windows RMS interne, qui s’exécute sur Windows 2003 ; Microsoft Office Édition Professionnelle 2003 (la première application client capable de créer et de lire des documents protégés) ; le client Windows Rights Management (RM), qui permet aux applications de fonctionner avec RMS ; Rights Management Add-on pour Internet Explorer (RMA), un composant client qui permet aux utilisateurs d’employer Microsoft Internet Explorer (IE) 6.0 Service Pack 1 (SP1) ou IE 5.5 SP2 (pour les clients Windows Me) afin de visualiser, mais pas de modifier, le contenu protégé par des droits ; et enfin un kit de développement logiciel (SDK) permettant aux développeurs de créer des applications client RMS supplémentaires et des outils serveur. Une boîte à outils sans support est également disponible afin que les administrateurs puissent accéder au fonctionnement interne de la base de données RMS et disposer de possibilités de gestion.

Tester un port UDP via TelNet, Trucs & Astuces sur iTPro.fr

Comment tester un port UDP via TelNet, suivez les conseils des experts iTPro.fr et ces Trucs & Astuces !

Meilleure portabilité : Introduction à  l’EGL

par Phil Coulthard, George Farr et Kushal Munir, Mis en ligne le 10/05/2006 - Publié en Décembre 2005

Bienvenue à nouveau dans notre série d’articles suivant l’itinéraire des développeurs iSeries (voir ibm.com/iseries/ roadmap). Dans le dernier article (« Meilleure portabilité : introduction aux outils de développement Java », juin 2005), nous décrivions des développements d’applications portables à l’aide des outils de développement Java fournis avec WDSc (WebSphere Development Studio Client). Les articles précédents traitaient des outils disponibles dans WDSc pour développer des applications d’interface utilisateur pour le Web (voir l’encadré « Articles précédents »).
Nous continuons ici à couvrir l’étape 4 de l’itinéraire : meilleure portabilité. Outre Java, une autre technologie appelée EGL (Enterprise Generation Language) est utile pour développer des applications portables. Nous commençons par examiner ce qu’est EGL. Ensuite, nous voyons comment il rend les applications portables et nous analysons ses avantages. Nous examinons aussi quelques outils propres à EGL, disponibles dans WDSc, et comment ils aident à développer des applications Java.

SOA, mais ça va de SOA…

par Jean Mikhaleff, Mis en ligne le 10/05/2006 - Publié en Décembre 2005

SOA est-il un nouveau concept qui préfigure la prochaine révolution informatique ou bien un bourdonnement de fond, en Anglais un « buzzword » avec deux zz ? Selon une interview de Mike Smith, architecte en chef à Rochester, SOA serait pour le moment les deux à la fois, mais devrait relancer l’iSeries à l’avenir. Cela vaut donc la peine de découvrir tout le potentiel que recèle ce nouveau concept pour les développements RPG.
Prenons un cas concret afin d’entrer dans le vif du sujet. Prenons l’exemple d’un développeur RPG à qui sa Direction demande un site web avec une partie graphique de présentation et une partie informatique de gestion incorporée. Première constatation qui va en étonner plus d’un : tout développeur RPG devrait savoir faire à priori aussi bien la partie graphique que la partie gestion sans rien apprendre de plus.En effet, avec un logiciel Wysiwyg comme FrontPage de Microsoft ou Dreamweaver de Macromedia, tout le monde peut faire un site web graphique sans rien connaître du langage HTML ou de JAVA. Nous le constatons chaque jour avec la mode des blogs. Par exemple nous pouvons voir sur le web aussi bien des ménagères qui publient des photographies .jpg de pâtisseries avec des recettes de cuisines, que des sites web faits par des retraités ou d’autres encore par des enfants. La partie graphique est accessible à tous, y compris pour un non informaticien. Donc, un développeur RPG, qui a l’habitude d’utiliser son PC tous les jours, ne devrait pas rencontrer de difficultés pour la partie graphique.

D’autre part, le développeur RPG sait faire toute la partie gestion base de données nécessaire au site web. En 5250 me direz-vous ? Faux ! pas en 5250 et c’est là que le concept SOA devient puissant. En fait, un programme transactionnel RPG ne gère pas le 5250 mais seulement des données. Voici un exemple qui le démontre et nous reviendrons ensuite à la réalisation de notre site web avec SOA.

Faites l’expérience suivante : prenez un programme transactionnel RPG quelconque, enlevez toutes les constantes du DSPF sans toucher à la partie données et recompilez seulement le DSPF. Appelez ensuite le programme RPG qui n’a pas été recompilé et nous constatons qu’ il fonctionne sans erreur de niveau. Cette expérience prouve qu’un programme transactionnel RPG gère uniquement les données transmises dans l’ordre attendu dans sa mémoire tampon et en aucun cas le flot 5250. Ceci étant démontré, revenons maintenant à notre site web et à SOA.

Notre développeur RPG sait faire ce que sa Direction lui demande. Son problème n’est donc pas un problème de compétence. Il ne lui servirait donc à rien de retourner à l’école pour apprendre un autre langage ou une autre technologie. Son seul gros problème est qu’il ne sait pas faire les choses ensemble, mais séparément l’une de l’autre. D’un côté, il sait faire les pages web de présentation, mais le protocole HTTP n’a pas été conçu à l’origine pour gérer les sessions persistantes multi utilisateurs indispensables à l’informatique de gestion. De l’autre, l’i5 OS, qui intègre une base de données relationnelle en natif, sait bien gérer automatiquement les travaux multi utilisateurs mais pas vraiment la partie graphique. En effet, nous savons maintenant que la webisation des écrans, bien qu’étant une solution sympathique, a montré ses limites. Vous l’aurez compris, le concept SOA, qui signifie : Service Oriented Architecture, se propose d’intégrer les deux architectures, en apportant aux deux LE chainon manquant pour former un tout cohérent entre le front office et le back office.

Revenons à notre site web. Imaginons que notre développeur RPG dispose des outils Wysiwyg SOA nécessaires. Prenons comme exemple bateau la création d’un nouveau client sur le web. A un endroit d’une page web, notre développeur RPG y insère, dans un objet graphique web, les données de saisie dans l’ordre du format DSPF afin que son programme RPG puisse les recevoir dans le même ordre dans sa mémoire tampon et les gérer. Nous pouvons anticiper une première difficulté. Si le programme de formulaire est modulaire, il peut être appelé en l’état puisqu’il suffit de passer les paramètres de création d’un client. Par

Kit ressources techniques ASP.NET

par Michael Otey - Mis en ligne le 03/05/2006 - Publié en Février 2005

Visual Studio .NET et .NET Framework proposent ASP.NET, un langage qui a inauguré une nouvelle ère en matière de programmation Web. ASP.NET propose un environnement de développement plus productif et une plateforme Web nettement plus performante que Visual Studio 6.0, basée sur COM, et le langage ASP (Active Server Pages).Le nouveau Kit de ressources techniques ASP.NET de Microsoft vient encore améliorer l’approche de la programmation ASP.NET en proposant un ensemble de didacticiels, d’exemples de code utiles, de chapitres extraits d’ouvrages et d’utilitaires gratuits. Ce kit est téléchargeable gratuitement à l’adresse http://msdn.microsoft.com/ asp.net/asprk/ . Cette rubrique présente quatre des fonctionnalités les plus utiles de ce kit.

Les nouveautés de Whidbey

par Michael Otey - Mis en ligne le 03/05/2006 - Publié en Février 2005

Les développeurs Visual Basic (VB) 6.0 apprécieront la prochaine mouture de Visual Studio .NET, nom de code Whidbey, prévue pour l’année prochaine. Bien que Visual Studio .NET constitue un environnement de développement remarquable par rapport aux outils de développement proposés auparavant par Microsoft, il n’est pas exempt de lacunes dans certains domaines. Par exemple, plusieurs fonctionnalités qui faisaient de VB 6.0 un environnement de développement productif, notamment la fonction Edit and Continue (Modifier et continuer), n’ont pas été reprises dans Visual Studio .NET. Néanmoins, Microsoft entend bien proposer de nombreuses améliorations dans sa nouvelle version, y compris cette fonction Edit and Continue. Voici sept des nouveautés très attendues de Whidbey.

Trucs & Astuces : Applets Java ou ActiveX

Les trucs & astuces de la semaine du 1er au 7 Mai 2006

Les actualités de la semaine 19 – Windows IT Pro – 2006

Toutes les actualités du 8 au 14 Mai 2006