Was ist der Ruf des ASP.NET-Mitgliedschafts-Frameworks im Hinblick auf die Sicherheit? Gibt es typische Standardkonfigurationseinstellungen, die problematisch sind? Welche Best Practices gibt es? Gibt es eingebaute Methoden gegen Session Hijacking?Wie sicher ist das ASP.NET-Mitgliedschafts-Framework?
Antwort
In Bezug auf Best Practices gibt es ein WIKI kurze ASP.NET 2.0 Security Inspection Questions genannt, die Sicherheitsüberlegungen auflistet, wenn ein Mitgliedschaftsanbieter verwenden. Kann es nützlich sein?
Ich bin mir nicht sicher, ob dies ein Problem für die ASP.NET-Mitgliedschaft Bits per se ist, aber vergessen Sie nicht sicherzustellen, dass ein Geheimnis auf dem Server generiert und auf POST authentifiziert wird, so dass Sie sicher sein können Der Formularpost kam von Ihrer App.
Es (besser) Möglichkeiten, können andere sein, dies zu tun, ich teile genau das, was ich weiß,
Omar AL Zabir auf einigen Updates gebloggt er auf die gespeicherten Prozeduren vorgenommen, die für eine hohe Benutzer Implementierung vor Ort benötigt wurden . Sein Vorschlag ist im Grunde entweder
WITH (NOLOCK)
oder
SET TRANSACTION ISOLATION LEVEL READ UNCOMMITTED
vor den SELECT-Abfragen in der Mitgliedschaft gespeicherten Prozeduren zu verwenden.
Optimize asp net membership stored procedures for greater speed and scalability
nice link, aber das spricht Leistung/Skalierbarkeit mehr als Sicherheit Robustheit – kenwarner
true .. Ich beantwortete die "Best Practices" Teil ... Beim erneuten Lesen der Frage, die möglicherweise Best Practices für die Sicherheit und nicht Best Practice gewesen im Allgemeinen ... schätze ich es nicht, die Antwort trotzdem zu verlassen? –