De seguretat en aplicacions ASP.NET

En general, un lloc web ASP.NET és accessible per qualsevol persona que es connecti al servidor que allotja a través d'una xarxa local o Internet. Tot i aquesta situació és ideal per a aplicacions web, però no és sempre l'elecció del disseny apropiat (per exemple, lloc de comerç electrònic té la seguretat necessària de les transaccions financeres realitzades pels seus usuaris, que no es veu afavorida per aquesta accessibilitat) .

ASP.NET proporciona un model de seguretat per a la protecció d'aplicacions web potent i flexible profundament, però pot començar a crear una certa confusió a causa dels diferents nivells que inclou.

La majoria del treball d'un programador per gestionar la seguretat d'una aplicació web és escriure el codi, però no per determinar els llocs apropiats per a la implementació d'estratègies de seguretat diferents. El primer pas és, per tant, decidir quines àrees requereixen l'aplicació de controls de seguretat i el que és necessari protegir.

El concepte de seguretat no és complex sinó que abasta diversos aspectes i nivells, i això sovint acaba sent considerats complexos. Considerem, per exemple, un lloc de comerç electrònic que permet als usuaris veure els resums de les seves comandes recents. La primera línia de defensa que un lloc com aquest ha de manejar el procés d'inici de sessió, a través del qual s'identifica a cada usuari abans que puguin veure les seves dades. Aquest és només un dels nivells de seguretat que el lloc ha d'administrar causa d'un altre, per exemple, la protecció de bases de dades que contenen dades confidencials i molta més protecció de les transaccions financeres (amb l'ús de xifrat). A partir d'aquest simple exemple es pot imaginar la varietat de coses a considerar.

Quan es dissenya una aplicació web tant, és convenient tenir en compte els diferents escenaris d'atac en el qual el mateix pot estar involucrat, encara que és molt difícil determinar per endavant tots. Per aquesta raó, és convenient dividir la seguretat en múltiples nivells.

Com a part de les peticions d'aplicacions web són manejats inicialment per la web el servidor IIS, el qual examina el tipus d'arxiu. Si el tipus té una validesa de servidor ASP.NET passa la sol · licitud perquè sigui processat.

La següent imatge (presa del lloc de Microsoft) és un exemple d'aquests passos

Com es pot veure el client web i les aplicacions ASP.NET interactuar amb el servidor IIS i determina si el client sol · licita pot venir o no les aplicacions. El sistema operatiu d'altra banda, interactua amb les aplicacions (a través de. NET Framework), amb el servidor IIS. En aquest esquema es pot aplicar la seguretat en diversos punts.

• <<
• 1
• 2
• 3
• 4
• 5
• >>