Reprise du message précédent :
On parle de service REST sur un site public qui utilise de l'Ajax, alors le SSO / certificat client excuse moi mais...

Et les services REST n'empêchent pas la mise en place de token à usage unique et de vérification d'identité... (et le SOAP est également possible en Ajax)

 Comme ça je dirai surtout que c'est un problème d'architecture.
Tu utilises un web service là où tes appels Ajax devraient taper les controllers (qui eux-mêmes tapent ton WS qui devient privé)

Sord > oui & oui, je l'ai sous entendu plus haut. Je ne dis pas qu'un webservice est forcément une passoire en sécurité, mais comme tu mentionnais des choses telles que les certificats on s'éloignait bien du possible .

varfendel > bien d'accord. Faut expliquer ça aux auteurs d'origine .
C'est du webform qui expose des .svc pour la partier ajax.

Le site a pas mal d'autres vulnérabilités d'ailleurs .

Je disais ça car je ne supporte pas devoir me connecter a un WS qui ne répond pas son WSDL (ou pire, un contrat faux/obsolète).
Cacher le WSDL, c'est comme interdire le clic droit sur un site web

+1

Deux semaines qu'avec un collègue on se bat pour communiquer avec le SI d'un établissement financier  
Le WSDL est public, mais faux

C'est une plaie la consommation de WS SOAP en WCF dès que le WSDL a un petit truc qui ne plait pas au générateur.

Selon le type de problème (présence de header bizarroide, wsdl décrivant un contrat cohérent mais ne respectant pas bien la norme soap, duplication de type, type mal décrit, fault mal décrite, ou carrément contrat différent entre le WSDL et la réalité) on peut lutter des jours. Et avec tous les services PHP et Java montés n'importe comment qui trainent on est pas sortis (même si WCF génère aussi des trucs bien étranges parfois).

Il faut aussi compter avec le non-support des types nullable dans la norme qui fait générer à WCF pour tous les types primitifs un couple "Champ" avec un booléen "ChampSpecified", très pratique à tester/initialiser à chaque fois qu'on veut toucher au champ lié et pas du tout source de bug vicieux si tu l'oublies .
Dès qu'on a un minOccurs="0" maxOccurs="1" on se retrouve avec ça dans le code généré.

Suggestions rapides si la génération foire (ex : génère un fichier .cs vide pour la classe client et les types).
- Ouvrir le fichier Reference.svcmap du service généré et bidouiller certaines options et relancer la génération.
Ce fichier correspond à ce que propose la fenêtre de paramétrage du générateur mais avec quelques trucs sympas en plus.
Par exemple UseSerializerForFaults à false permet de forcer l'utilisation de XmlSerializer plutôt que DataContractSerializer pour les faults, et il est plus tolérant (supporte certaines constructions en plus, etc).
- Voir les warnings et infos, parfois ça aide (un peu) à comprendre pourquoi ça veut pas,
- Si on est joueur on peut récupérer les XSD plutôt qu'un WSDL et faire le boulot à la main pour créer un client.
- En désespoir de cause, générer une WebReference "façon .Net 2", parfois ça marche là où WCF foire.

Pour votre cas en passant le WSDL dans un validateur ça peut également permettre de mettre à votre partenaire le nez dans son caca, histoire de les pousser à corriger.

A propos de WCF, la new du moment !!
http://www.dotnetfoundation.org/bl [...] pen-source
 

Salut a tous
 
Petite question du jour: Second Level Caching.  
 
Avez vous des solutions de cache entre vos applications et votre DB (SQL Server) actuellement  ou envisager le cas ?
 
J'y pense de plus en plus, j'ai donc fait quelques recherche. Memcached ressort beaucoup. Avez vous des infos sur d'autres solutions ? Peut etre quelque chose Microsoft Friendly etc...
 
Merci

C'est dans la roadmap de l'entity framework depuis un bail. Il y a eu un truc (extension) pour l'EF5 que je n'ai pas essayé, qui il me semble n'a plus été supporté dans le 6 (changements d'APIs probablement), je ne sais pas où ça en est sous forme native ou d'extension.

Si tu n'utilises pas l'EF, puisque tu parles de DB dans tous les cas je pense qu'il serait intéressant que tu nous dises comment tu y accèdes et/ou si tu es prêt à changer de solution, pour venir y coller ta solution au plus proche niveau.

Il y en a qui font du dev Azure ici ?

 
Oui on utilise MVC / EF6 / Sql Server 2012
 
J'ai continuer mes recherches et au final je vois Memcached et Redis. Et je penche de plus en plus vers Redis la pour le coup
 
Mais j'attend vos reponses, vu que j'ai pas d'XP sur ce sujet

Je n'ai aucune expérience autre que théorique de Redis. C'est pas lourd à mettre en place ? Tu as vu des avantages sérieux par rapport à une solution native ?

J'ai du mal à concevoir l'intérêt d'un système de cache quand on utilise SqlServer qui gère déjà ces mécanismes.
 
Je peux comprendre (éventuellement) l'intérêt de la chose dans des applications big data, où la base de données n'est pas relationnelle, mais sinon..
 
Vous pouvez m'éclairer ?

A l'arrache je dirai que : d'une part ça t'octroie plus de contrôle que le cache basique et brutal de SQL Server, et d'autre part que pour faire fonctionner le cache de SQL Server il faut appeler SQL Server, opération qui en elle même a déjà un coût selon l'architecture (serveurs séparés sur des réseaux distants, etc).
Mais bien sûr c'est un peu simpliste comme réponse .
Laissons répondre massanu pour son cas .

Bin en fonction du type de données et du système derrière ça peut être important de pas avoir à faire une requête à chaque coup.
Par exemple un système où tes données sont souvent mises à jour et interrogées, genre un algo de trading, si ça te prend 100 ms pour te connecter à la base et faire ta requête, t'es mort. Donc tu stockes tes données dans une grosse Map en mémoire avec la clé qui va bien et ça renvoie ce que tu cherches en O(1).
Ou alors à l'inverse, des données qui changent peu mais pour lesquelles il faut une requête de 30 minutes pour tout choper : tu fais ta requête 1 fois le matin, tu stockes tout en cache et ensuite le système interroge le cache en quelques ms plutôt que la DB pendant toute la journée.

Moui, je suis moyennement convaincu.
D'autant que le mécanisme de cache doit être synchronisé avec la DB ce qui a de toute façon un coût quelque part.
SqlServer est aussi capable de te retourner des valeurs en O(1) il me semble.

Dis-toi qu'il y a plein de gens qui le sont et que si des solutions existent, c'est que la question se pose Perso je l'ai vu à l'oeuvre et l'intérêt est réel.

Bus d'événement à faible latence type ZeroMQ ou RabbitMQ. Un process met la DB à jour, les clients sont connectés soit en direct au bus, soit au serveur de cache. Les perfs n'ont rien à voir avec une connec SQL + une requête.

Ba si tu tapes sur l'index, etc... oui. Mais si tes données sont éparpillées sur 4 ou 5 tables et que la jointure devient coûteuse, t'as plus vite fait de monter un cache mémoire dans un coin qui agrège tes données une bonne fois pour toutes tout en se maintenant à jour via des événements ponctuels que de te taper la requête.
 
Maintenant c'est comme tout : si t'en as jamais eu besoin, c'est normal que ça te parle pas des masses.

Ca a déjà été dit mais c'est utile dans le cas de référentiels de forte volumétrie ça permet d'éviter le transfert entre la base et le serveur applicatif (et plus du coût de la requête bien sur).
On a fait une POC sur Redis (pas moi personnellement) qui a été concluante mais pas de mise en prod pour l'instant donc pas d'avis définitif.

De mon côté je suis convaincu de l'intérêt du cache niveau métier et DB, par contre j'ai toujours fait ça à coup directement en code managé en utilisant les bons types de collections et ce qu'il faut pour gérer proprement la concurrence, jamais eu besoin de plus

D'où le fait qu'une solution comme Redis me semble quand même sacrément lourde (solution dédiée qui tourne sur linux d'où serveur dédié et coût d'infrastructure associés + nécessité d'utiliser un wrapper c# plus ou moins éprouvé sachant qu'en plus il y en a plusieurs + nécessité de maintenir et maitriser le truc côté C# et solution Redis elle même, etc) donc il faut vraiment que ça en vaille la peine.
Genre gros volumes et partagé entre plusieurs projets, etc.

Si c'est juste pour quelques dizaines de Mo de données texte et binaires un Dictionary/hash + quelques locks bien placés + une couche d'accès et voilà .

D'où la question : t'as quoi à mettre en cache (volume, nombre d'accès, cycle de vie...) ? Tu gères ça comment pour le moment ?

J'allais poser la même question, vous mettez quoi comme données en cache ? A part celle qui ne bouge jamais évidemment.
 
J'essaie de voir comment je pourrai utiliser un système de cache avec un tableau de données avec des filtres/tri dont le contenu dépend de l'utilisateur connecté.
Et ces données bougent assez souvent (genre toutes les 2min).
Ca se fait dans ce cas là ?
Vous y stockez toutes les données ou juste la page en cours ?

Perso j'ai surtout stocké des données de référence, qui servent à tout le monde. Par exemple des cotations ou autres données de marché associées à un instrument financier, typiquement le genre de truc dont les infos sont stockées sur plein de tables différentes pas forcément bien raccordées entre elles et qui se mettent à jour de façon irrégulière via un adaptateur tiers.

Elles changent par des actions de l'utilisateur qui les consulte ou par des événements d'arrière plan ?
C'est web ou client lourd ?
Si les volumes sont pas trop gros, colle tes listes d'objets affichés en session (moyen le plus simple de faire du spécifique à l'utilisateur). C'est alors la session qui te sert de cache en qqe sorte.
Pour la MAJ "forcée" un truc simple est de câbler les bons événements, éventuellent exposé au travers d'un espèce de hub d'événements statique.

Re-hello,

Petite question : selon vous qu'est ce qui peut empêcher la validation des requêtes (le truc natif antixss) de s'exécuter ?

J'ai un site (.Net 4.0, webforms) qui en dév le fait très bien sur un cas trivial (une url avec <script> dedans, "A potentially dangerous Request.Path value was detected from the client (< )." ) mais le même site en staging et en production exécute joyeusement tout ce qu'on peut lui donner à manger comme attaques XSS, avec par exemple exactement la même url.

Dans le web.config je n'ai rien de particulier sur aucun des environnements, j'ai essayé de jouer avec quelques trucs (<httpRuntime requestValidationMode="4.0"/>, <pagesvalidateRequest="true">...) pour voir mais ça ne change rien du tout, en dév c'est toujours actif et en stag/production jamais .

Au niveau machine.config et cie pas de bricolage particulier on dirait, et au niveau IIS je ne vois pas non plus.

Auriez vous une suggestion de piste à creuser ? Je ne suis pas super familier avec cette fonction, je me contente de la voir fonctionner d'habitude  

edit : toujours rien, le seul truc que je vois c'est que les serveurs de mon client sont à la bourre niveau version installée du framework...
re-edit : suis trop con, je viens de comprendre. En prod/stag les CustomErrors sont actives, c'est en arrivant sur la page d'erreur que l'exploit XSS se déclenche, alors qu'en dév les customerrors sont à off. Mais en fait ça fait pareil des deux côtés. Si je blinde ma page d'erreur ça devrait aider.

Merci

NLog 4 est sorti : http://nlog-project.org/2015/06/09 [...] eased.html

C'est tout frais et il y a quelques breakings changes donc pour éviter les surprises on va laisser les autres tester d'abord
Mais c'est définitivement mon framework de logging préféré et il y a des nouveautés sympa !!

J'adore NLog, mais nous on est avec Log4Net.. bien mais vieillissant

C'est le cas de beaucoup d'applis malheureusement. Même sur des dév récents on le voit encore, et le récent reboot du projet depuis qu'il est parti chez Apache n'arrange rien .
Il a mystérieusement une meilleure image que NLog, un truc lié à "l'aura" de log4j certainement...

Pour développer la même solution sur plusieurs ordinateurs sous visual studio vous synchronisez comment la solution ?
 
J'ai pas encore bien compris le concept de visual studio online et à part héberger ma solution dans un cloud type dropbox je vois pas trop.
 
Merci

Tu as besoin d'un truc online ou c'est pour du réseau interne ?
 
Premier cas, si tu admets que tes sources ne sont pas hautement confidentielles : github, codeplex, vs online, Bitbucket, cloud quelconque...
Tous ces sites ont un mode "privé".
 
Deuxième cas : installer un petit serveur de versionning : svn par exemple (très facile à installer et partager en LAN via Visual SVN), sinon : git, tfs, mercurial, n'importe quoi d'autre.
Note qu'il est aussi possible d'opter pour cette solution tout en partageant les sources sur internet.

C'est pour coder en déplacement via mon portable.
Je ne dirais pas quelles sont hautement confidentielles mais elles ne sont clairement pas publiques.
 
Merci de m'avoir aiguiller, je vais donc tester vs online puis github. Sinon je testerais le versionning, jamais expérimenté encore ça.

Si t'as qqe part une machine allumée 24h/24 connectée à Internet VisualSVN est aussi une bonne solution.

C'est mon cas oui je vais essayer VisualSVN. Du coup vs online à part le versionning il sert à quoi ?

A accroitre le monopole de Microsoft ? A faire du TFS plutôt que du SVN ? A suivre la mouvance hype "cloud" ?

VS Online permet d'accéder facilement à l'intégration continue via le couple TFS/Azure. SVN n'est qu'un contrôleur de code source, TFS est une forge complète qui possède entre autre un contrôleur de code source (Source Control, mais peut facilement se brancher sur Git)

Tout à fait vrai. Mais dans notre cas vu qu'il n'a déjà pas l'air de savoir ce qu'est un SCM et que la question portait uniquement sur la récupération de sources de plusieurs points je me suis dit qu'il valait nettement mieux faire l'impasse sur l'aspect IC et toutes les autres fonctions de TFS .

Oublié de poster l'info ici, mais Visual Studio 2015 RTM est sorti il y a quelques jours :
https://www.visualstudio.com/vs-2015-product-editions
Dispo au téléchargement en version Community pour les motivés .

Et resharper est déjà sorti en version 100% compatible.

Et gaffe à .NET 4.6, il y aurait un bug dedans
http://nickcraver.com/blog/2015/07 [...] dotnet-46/

Bien vu !!
RyuJIT c'est plein de belles promesses (que je ne conteste pas !), mais de bugs aussi apparemment, celui-là est sympa. J'imagine le boxon incompréhensible que ça peut te mettre sur une plateforme de production