Je m’y colle…
Bonjour et bonnes questions !
DotNetNuke.com édite mensuellement des bulletins de sécurité concernant DNN et les informations concernant les failles potentielles et les corrections à apporter.
ref : http://www.dotnetnuke.com/Community/SecurityPolicy/tabid/940/Default.aspx
Concernant les attaques par injection SQL on peut dire que le Core Team a depuis longtemps pris la mesure de ce genre d’attaque en faisant en sorte d’utiliser au mieux les mécanismes existant pour se protéger. Par contre, on n’est pas à l’abri d’un module mal développé qui rendrait dnn « perméable ».
Les versions 2 de DNN étaient limites au niveau de la sécurité. Un grand cap a été franchi avec DNN 3.x, le niveau de sécurité de dnn n’a jamais été aussi élevé que depuis qu’il utilise le Framework .NET 2 et son bagage de système de protection « embarqué » dans la V4.x
Je n’ai personnellement pas souvenir d’avoir été obligé d’appliquer un patch urgentissime pour protéger une instance de DNN : le plus gros problème rencontré est venu d’un module NON Core…
Dernièrement, c’est le module Forum qui permettait trop facilement l’utilisation de code type javascript… c’est corrigé dans la version qui vient de sortir.
Quand à la question sur la fiabilité de DNN en ce qui concerne la protection des données je répondrais OUI sans hésiter, non pas parce que je suis piqué mais parce que je l’utilise sans vergogne depuis quelques années et que force est de constater qu’il est d’une fiabilité « légendaire ».
La sécurité sera renforcée d’autant plus que la plate-forme Windows le sera !
Un bon SQL 2005 et un (bientôt) IIS 7.x sur un Windows 2003 R2 (longhorn ?) amélioreront encore plus la fiabilité… sans parler du Framework V3.
Sinon, pour les fans de rapport en tous genres :
Secunia http://secunia.com/product/12059/ (DotNetNuke 4.x)
frSIRT http://www.frsirt.com/english/vendor/944
David.
PS : les developpeurs complèteront facilement mon propos.