Façon sûre et sûre de mettre à jour sur Internet en C#

Question

Quel serait le moyen le plus sûr et le plus sûr pour permettre au logiciel de se mettre à jour automatiquement sans ouvrir trop de trous pour permettre à un pirate d'accéder facilement à un système?

Answer 1

Avez-vous examiné le déploiement de ClickOnce?

http://msdn.microsoft.com/en-us/library/t71a733d(VS.80).aspx

Le bref aperçu est ici:

http://msdn.microsoft.com/en-us/library/142dbbz4(VS.80).aspx

Answer 2

Si vous allez faire votre propre système, vous voudrez probablement avoir une paire de clés publique/privée.

Ainsi, vous compresseriez la mise à jour.

Chiffrez ensuite avec la clé privée sur le serveur.

Le client peut ensuite le déchiffrer et le décompresser, puis l'installer. De cette façon, tant que votre clé privée est sécurisée, vous pouvez vous assurer que la mise à jour est légitime. La seule faiblesse ici est que si quelqu'un a changé la clé publique à une autre clé, alors ils pourraient tromper ce programme en pensant qu'un cheval de Troie est une mise à jour valide.

Il existe différents schémas que vous pouvez utiliser pour contourner ce problème, mais cela dépend du travail que vous voulez y consacrer.

Answer 3

Je recommande de ne pas créer votre propre mise à jour automatique, utilisez ClickOnce s'il fonctionne pour vous ou un composant commercial de mise à jour automatique si ce n'est pas le cas.

Si vous voulez voir ce qui est impliqué, j'ai écrit une série sur l'écriture d'un composant auto-mise à jour sur mon blog il y a quelque temps, le dernier message avec des liens vers tous les postes de la série est à l'adresse: http://www.nbdtech.com/blog/archive/2007/08/07/How-To-Write-an-Automatic-Update-System-Part-8.aspx

Answer 4

ClickOnce mise à jour automatique est tout juste et bien, mais tout le monde peut admettre que ce n'est pas la solution la plus à la mode. J'ai récemment développé une solution qui nécessite une telle fonctionnalité de mise à jour automatique. Voici une liste des étapes rapides que j'ai suivies pour déployer mon propre service de mise à jour qui permet également des rétrogradations avec un savoir-faire «minimal».

1. Ajouter un projet d'installation à la solution afin que le projet puisse être enveloppé soigneusement dans un package d'installation .exe ou .msi. Vous trouverez ci-dessous la configuration d'un serveur FTP avec les informations d'identification de l'utilisateur que seul votre application connaît. Sur le serveur ftp, configurez un répertoire par défaut pour l'emplacement des nouvelles mises à jour.

2. Votre application vérifie la connexion Internet au démarrage, connecte-toi à ton serveur FTP distant et vérifie s'il y a de nouveaux fichiers à télécharger.

3. Téléchargez les nouvelles mises à jour de votre application cliente et placez-les dans un dossier nommé date-heure pour référence ultérieure. Certaines vérifications doivent être en place pour s'assurer que vous ne téléchargez pas les mêmes anciens fichiers.

4. Fermez l'application et exécutez la nouvelle installation.Selon la façon dont vous configurez votre projet d'installation, l'assistant d'installation peut supprimer complètement la version précédente ou simplement mettre à jour partiellement (patches, etc.).

5. Votre application peut avoir une fonction permettant de revenir à la version précédente en accédant au répertoire de mise à jour local et en récupérant les fichiers précédemment téléchargés. C'est là que les fichiers estampillés date-heure sont utiles pour référence.

Cette solution offre un niveau de personnalisation dont la plupart des solutions d'entreprise auront besoin, et je trouve que cela fonctionne très bien pour moi. Les serveurs FTP sont sécurisés et fiables en ce qui concerne les téléchargements de fichiers. Vous pouvez trouver beaucoup de bibliothèque d'aide au téléchargement FTP sur Internet, c'est donc une question de faire le travail comme vous voulez et ne pas trop se soucier de la façon dont cela fonctionne.