Construisez des solutions numériques sécurisées, plus rapidement avec SmartGuide® 7.5

La sécurité représente un enjeu grandissant lorsque l’on construit des solutions numériques accessibles par le public. Les coûts en lien avec les aspects de sécurité du développement et de l’entretien de solutions numériques représentent une portion significative des coûts totaux de développement. Négliger les tests de services numériques peuvent causer des brèches de sécurité coûteuses qui peuvent affecter fortement la réputation d’une organisation. Lorsqu’une application est développée, surtout lors d’approche sur mesure, un petit changement peut facilement introduire des vulnérabilités coûteuses à tester.

Heureusement, des outils de Développement Rapide comme SmartGuide peuvent fortement réduire les effort requis pour construire et maintenir de façon sécuritaire des applications en offrant des fonctionnalités de sécurité intégrée au cœur du produit même et en réduisant de façon significative le besoin de code sur mesure. SmartGuide 7.5 va encore plus loin en offrant plusieurs fonctions additionnelles permettant à vos solutions numériques de se conformer aux exigences OWASP sans avoir besoin d’expert en sécurité.

Qu’est-ce que SmartGuide®?

SmartGuide® est un outil de développement de solutions Web et mobiles de premier plan qui permet aux organisations de créer, déployer et gérer facilement des applications intelligentes et personnalisées centrées sur l’utilisateur. Il offre aux entreprises l’agilité nécessaire pour fournir rapidement des services Web et mobiles efficaces à toutes leurs parties prenantes, tout en libérant toute la valeur des actifs informatiques de l’entreprise.

Quoi de neuf dans SmartGuide® 7.5

Cette nouvelle version se concentre sur la sécurisation immédiate de vos applications. Notre équipe a essentiellement passé en revue les principales vulnérabilités de sécurité rencontrées dans les applications Web et a veillé à ce qu’elles soient couvertes par les fonctionnalités natives de SmartGuide®.

Nouvelles fonctionnalités de sécurité avec SmartGuide® 7.5

Cette nouvelle version a pour priorité de rendre vos applications sécuritaires par défaut. Notre équipe à révisé les principales vulnérabilités typiquement retrouvée dans les applications Web et s’est assurée que chacune était gérée par une fonctionnalité de SmartGuide®.

Prévention d’attaques par Falsification de requête inter-site (CSRF)

SmartGuide® 7.5 intègre des fonctions native de prévention de CSRF via un nouvel onglet dans vos Smartlets. Chaque interaction Web est sécurisé via l’échange d’un jeton sécurisé.  Les jetons sont unique par session permettant d’éviter la vulnérabilité de fixation de session. Lorsqu’une requête malicieuse de CSRF est détectée, des actions par défaut ou personnalisées peuvent être configurées directement via l’onglet de Sécurité du Designer de SmartGuide®.

Onglet Sécurité

Assurez un contenu sécurisé

Un nouveau type de validation, appelé validation du contenu sécure, a également été ajouté aux champs de type texte. Cette validation de contenu prévient les attaques typiques par injection de code qui résultent souvent en pertes d’information ou brèches de confidentialité.

SmartGuide® fourni non seulement un algorithme par défaut de validation de contenu, mais aussi un mécanisme d’extension permettant à chaque client de personnaliser les règles de validation selon leur propres normes internes.

Onglet Validations

Cette validation est activée par défaut sur les champs nouvellement créés. Vous pouvez spécifier un message d’erreur personnalisé ou simplement utiliser le message par défaut spécifié dans l’onglet Sécurité.

De plus, les validations peuvent maintenant être définies lors de l’ajout / modification / suppression d’instances dans un groupe répétitif.  Ainsi, vous pouvez associer un service à l’action ajout d’instance par exemple, puis valider le retour du service pour décider si la nouvelle instance est valide ou non.

Variables sécurisés

Une autre amélioration significative de la sécurité se présente sous la forme de variables.  Vous n’avez plus besoin de créer et de manipuler des champs cachés uniquement pour conserver des informations transitoires utilisées par vos services, par exemple, ou pour basculer la visibilité des champs / groupes.  Un nouvel onglet Variables est fourni où vous pouvez définir vos variables,

Onglet Variables

Les variables sont accessibles partout dans SmartGuide®, dans les calculs, l’affectation de valeurs, les mappings, etc. 

Comme les variables ne sont pas exposées dans le thème, cela réduit considérablement le risque d’effectuer le rendu d’un champ caché dans le navigateur client contenant des informations sensibles.

Diagnostiques

Les diagnostiques sont une partie intégrale d’une solution sécurisée. Sans fonctions de diagnostique et de journalisation, les attaques malicieuses ne peuvent être interprétées correctement ou même détectées. La journalisation à été améliorée de façon significative dans SmartGuide® 7.5 afin de capturer davantage d’informations avec une meilleure forme. Il est maintenant plus simple de suivre les informations par session usager ou d’importer les logs dans des outils d’analyse spécialisés tierces. Enfin, un nouvel onglet Diagnostiques a été ajouté au niveau du Smartlet pour permettre la définition des propriétés de journalisation personnalisées,

Onglet diagnostiques

Ces propriétés apparaîtront sur chaque ligne de journal dans vos fichiers journaux, ce qui facilitera le suivi de toutes les actions effectuées par vos utilisateurs ou le débogage dans les environnements de développement.

Améliorations additionnelles

Éditeur de valeurs dynamiques

L’éditeur de valeur dynamique permet désormais de;

  • Définir / obtenir des variables de session,
  • Extraire des paramètres de l’URL,
  • Obtenir des paramètres de configuration à partir des fichiers web.xml / web.config, etc.
  • Lire et écrire les cookies

Cela facilite beaucoup l’extraction de paramètres, comme ceux renvoyés par une passerelle de paiement vers votre Smartlet avec les résultats des transactions.

Groupes répétitifs

Les groupes répétitifs peuvent maintenant avoir une case à cocher ou un bouton radio affichés à côté de chaque ligne, permettant ainsi une ou plusieurs sélections. Des API ont été ajoutés pour obtenir les lignes sélectionnées, le nombre de lignes, etc.

Une amélioration utile a également été ajoutée aux groupes répétitifs qui restent maintenant en mode tableau même lorsque les champs sont sur plusieurs lignes, lorsque ces champs sont de type caché.

Enfin, l’amélioration la plus importante concerne la possibilité de peupler un groupe répétitif à la demande. Ceci est particulièrement important lorsque vous avez un grand jeu de données à présenter (comme des centaines de milliers de lignes).  En appelant un service sur le rendu de groupe répété, vous pouvez remplir le groupe page par page et renvoyer uniquement les lignes nécessaires au client.

Services et Mappings

Lors de la création d’une connexion à un service, l’option de création automatique permet de spécifier la page où les champs doivent être créés. En outre, l’option de mapping automatique de champs permet de spécifier une page ou un groupe où les champs doivent être mappés.

De plus, pour faciliter les actions conditionnelles basées sur un résultat de service, le mappage de retour ERROR des services peut maintenant être sélectionné dans les conditions de retour de service. Ainsi, vos actions peuvent être basées sur le fait qu’une erreur soit survenue ou non lors d’un précédent appel de service.

Enfin, les mappages d’entrée et de sortie incluent désormais la possibilité de spécifier l’attribut de champ à définir ou à obtenir. Ainsi, il est maintenant possible de renseigner une liste déroulante avec des étiquettes d’option et des valeurs mappées vers différentes sorties de service. Vous pouvez également affecter des valeurs à un attribut de données d’un champ et même définir le libellé d’un champ à partir d’un retour de service.

Autres améliorations

De la flexibilité a été ajoutée à un certain nombre de fonctionnalités existantes.

Par exemple, l’action Rediriger vers un autre smartlet peut désormais prendre une valeur dynamique au lieu d’une valeur statique déterminée au moment de la conception.

Les messages de validation de page sont également maintenant dynamiques, vous permettant de composer des messages et d’utiliser les retours de service par exemple.

Enfin, les conditions de visibilité peuvent maintenant être définies sur le bouton Modifier d’un récapitulatif.  Cela facilite la conception d’applications de type révision dans lesquelles les boutons ne doivent pas être exposés en fonction du rôle de l’utilisateur connecté.

Thème

Le thème par défaut inclut désormais la prise en charge de grands ensembles de données dans des groupes répétitifs.  Cela permet d’afficher une seule page de résultats à la fois, avec des opérations de pagination / tri / filtrage effectuées côté serveur via des appels AJAX.

Le thème de style Materialize est maintenant disponible dans la version .Net de SmartGuide®.

Essayez le maintenant!

Quel meilleur moyen de tout apprendre sur cette dernière version que de l’essayer soi-même?  Si vous êtes déjà un utilisateur SmartGuide®, veuillez contacter votre représentant Alphinat.  Si vous débutez avec SmartGuide®, vous pouvez demander un essai gratuit.

Dans les deux cas, nous espérons que vous apprécierez autant la version 7.5 que nous avons apprécié sa conception!  Et comme toujours, veuillez nous faire savoir ce que vous pensez afin que nous puissions améliorer SmartGuide® à chaque nouvelle version. Merci pour votre soutien continu!

Laisser un commentaire

Votre adresse courriel ne sera pas publiée. Les champs obligatoires sont indiqués avec *