Securitatea în aplicaţiile ASP.NET

De obicei, un site Web ASP.NET este accesibil de către orice persoană care se conectează la serverul care găzduieşte printr-o reţea locală sau Internet. Deşi această situaţie este ideal pentru o varietate de aplicatii web, dar nu este întotdeauna alegerea potrivită a proiectului (de exemplu, un site e-commerce are ca o condiţie prealabilă pentru securitatea tranzacţiilor financiare efectuate de catre utilizatorii sai, care nu este favorizată de această accesibilitate) .

ASP.NET oferă un model de securitate pentru protecţia de aplicaţii web puternice şi profund flexibil, dar poate începe pentru a crea unele confuzii din cauza unor niveluri diferite care le include.

Cele mai multe dintre lucrările de un programator pentru a gestiona cererea de securitate web este de a scrie cod, dar nu în determinarea locurile potrivite pentru punerea în aplicare a strategiilor de securitate diferite. Primul pas este, prin urmare, de a decide care zonele necesită în aplicare a controalelor de securitate şi de ceea ce ar trebui să fie protejate.

Conceptul de securitate nu este complex, dar cuprinde diverse aspecte şi niveluri şi, astfel, de multe ori se termină până fiind considerate complexe. Luaţi în considerare, de exemplu, un site e-commerce care permite utilizatorilor sa vizualizeze rezumate ale comenzilor dvs. recentă. Prima linie de apărare pe care un site ca acest lucru este să se ocupe de procedura de autentificare, prin care fiecare utilizator este identificat, înainte de a putea vedea datele lor. Acesta este doar unul din straturi de securitate pe care trebuie să gestioneze site-ul, deoarece un alt, de exemplu, protecţia bazelor de date care conţin date sensibile şi mai multă protecţie a tranzacţiilor financiare (folosind criptare). Din acest exemplu simplu vă puteţi imagina varietate de lucruri să ia în considerare.

Când se proiectează o aplicaţie web este, prin urmare, necesar să se ia în considerare diferite scenarii de atac în care pot fi implicate aceleaşi, deşi este foarte dificil de a identifica în prealabil toate. Din acest motiv, este recomandabil de a diviza de securitate pe mai multe niveluri.

Ca parte a cererilor aplicatiei web sunt gestionate iniţial de către serverul web IIS, care analizează tipul de fişier. În cazul în care tipul este valabil pentru ASP.NET serverul trece cererea astfel încât aceasta să fie procesată.

Următoarea imagine (luate de pe site-ul Microsoft) exemplifica aceşti paşi

După cum puteţi vedea clientul web şi aplicaţii ASP.NET interacţionează cu serverul IIS şi determină dacă cererile client poate veni sau nu aplicaţii. Sistemul de operare este pe de altă parte, interacţionează cu aplicaţiile (prin intermediul. NET Framework), cu atât serverul IIS. În acest sistem se poate aplica de securitate la mai multe puncte.

• <<
• 1
• 2
• 3
• 4
• 5
• >>