Microsoft mise sur la sécurité avec le serveur web IIS 6.0
|
Par Francisco Villacampa (01Net) - L'éditeur Microsoft compte bien sur la nouvelle version de son serveur web pour rattraper Apache, son concurrent libre. En effet, Internet Information Services 6.0 s'installe sans activer les extensions (ASP, ASPX...) des pages dynamiques ASP ou ASP.NET. Auparavant, le serveur se déployait comme une couche d'infrastructure locale et activait tous les services par défaut, ce qui le rendait vulnérable. Désormais, les administrateurs effectuent cette activation au cas par cas, site par site, via la console IIS Manager.
Quant au traitement des requêtes, IIS 6 se fonde sur Application Pools, un nouvel outil d'isolation des processus. Il garantit un découplage entre les processus d'exécution d'un programme et le traitement dynamique des pages web. En théorie, le plantage d'une application de back-office n'aura donc plus d'incidence sur l'activité du serveur, déclenchant au pire une interruption de service applicatif signalée par un message idoine, mais en aucun cas ne provoquant de chute du serveur HTTP ou de plantages en cascade.
Gérer plusieurs serveurs virtuels : Dans le cadre de cette isolation, IIS 6 se dote de palettes de configuration, destinées à « écouter » un processus, à l'éliminer en cas de défaillance, puis à le redémarrer à chaud. Le serveur web innove également en exploitant une métabase de configuration, stockée au format XML, pour chaque domaine en activité. Intéressante, elle autorise le déploiement de plusieurs serveurs virtuels pouvant hériter ou non des caractéristiques de serveurs parents (extensions, applications...).
Enfin, IIS 6.0 gère en natif les services web au travers du serveur d'applications. NET Framework, livré en standard avec Windows Server 2003 . Néanmoins, son utilisation réclame l'apprentissage du logiciel Active Directory Authorization Manager, qui attribue à l'environnement les droits de représentation d'un programme sous la forme de services web.
|