Sicurezza applicazione ASP.NET 4

venerdì 30 novembre 2012 - 11.06
Tag Elenco Tags  C#  |  VB.NET  |  .NET 4.0  |  Windows Server 2008 R2  |  Windows Server 2008  |  Windows Server 2003  |  Visual Studio 2010  |  SQL Server 2008 R2  |  SQL Server 2008

_jack_ Profilo | Junior Member

Buongiorno a tutti,
finalmente sono riuscito a realizzare la mia prima applicazione in ASP.NET 4.
Questa applicazione, molto semplice per ora, è una sorta di data entry per popolare un'anagrafica.
All'avvio è richiesta una login al sistema.

Volevo sapere se, ovviamente oltre al login, era necessario prendere altre precauzioni riguardo la sicurezza, in quanto questa applicazione sarà distribuita nel www e chiunque potrà visitare il sito in questione.

Grazie anticipatamente
Saluti
J

alx_81 Profilo | Guru

>Buongiorno a tutti,
Ciao

>Volevo sapere se, ovviamente oltre al login, era necessario prendere
>altre precauzioni riguardo la sicurezza, in quanto questa applicazione
>sarà distribuita nel www e chiunque potrà visitare il sito in
>questione.
la domanda è tosta e meriterebbe una chiacchierata di una settimana :)
Diciamo che intanto dovresti scegliere come fare l'autenticazione. Asp.net fornice metodi preimpostati.
Poi, il come accedi al database per evitare che ci siano buchi di sicurezza (vedi i vari xss e SQL injection).
Poi, il trattamento dei dati sensibili per cui ti potrebbe servire un accesso https (serve un certificato SSL costoso). Poi dipende da quello che tratti, pensa ad un carrello, serve sincronia tra i dati client e server. Ancora, le validazioni. Farle possibilmente sia sul client che sul server. Ma mai solo su client.. Per non dimenticare la crittografia dei dati per cui a volte le varie compliance sono necessarie.. E via di seguito..

>Grazie anticipatamente
di nulla!
>J

--
Alessandro Alpi | SQL Server MVP
MCP|MCITP|MCTS|MCT

http://www.alessandroalpi.net
http://blogs.dotnethell.it/suxstellino
http://mvp.microsoft.com/profiles/Alessandro.Alpi

_jack_ Profilo | Junior Member

Ciao e grazie per la risposta!

>Diciamo che intanto dovresti scegliere come fare l'autenticazione.
>Asp.net fornice metodi preimpostati.
Tu cosa consigli? Io ho provato a du sare le Membership ma poi mi sono ritrovato a dover gestire due anagrafiche (quella delle membership e quella dei miei utenti).

>Poi, il come accedi al database per evitare che ci siano buchi
>di sicurezza (vedi i vari xss e SQL injection).
Ok, mi sono documentato.

>Poi, il trattamento dei dati sensibili per cui ti potrebbe servire
>un accesso https (serve un certificato SSL costoso).
A livello di codice devo modificare qualcosa se uso il protocollo HTTPS piutto sto che HTTP?

>Poi dipende
>da quello che tratti, pensa ad un carrello, serve sincronia tra
>i dati client e server. Ancora, le validazioni. Farle possibilmente
>sia sul client che sul server. Ma mai solo su client..
Ok, quello l'ho già considerato.

>Per non
>dimenticare la crittografia dei dati per cui a volte le varie
>compliance sono necessarie..
Per crittografia dei dati cosa si intende precisamente?
Vuol dire mettere sul DB un "nome" criptato tipo "Mario Rossi" -> "ydyasdua jdjabfajfb"?

>E via di seguito..
>di nulla!
Grazie ancora!!

alx_81 Profilo | Guru

>Tu cosa consigli? Io ho provato a du sare le Membership ma poi
>mi sono ritrovato a dover gestire due anagrafiche (quella delle
>membership e quella dei miei utenti).
una custom membership, che sfrutta il motore ma che reimplementa le entità.

>Ok, mi sono documentato.
Se vuoi ho scritto qualcosa anche: http://www.dotnethell.it/articles/SQL-Injection-Tutorial-Security.aspx

>HTTPS piutto sto che HTTP?
No, certificato per crittografare il passaggio delle info

>Per crittografia dei dati cosa si intende precisamente?
>Vuol dire mettere sul DB un "nome" criptato tipo "Mario Rossi"
>-> "ydyasdua jdjabfajfb"?
Beh i dati sensibili, tipo la pwd. Ma dipende cosa fai. Io che lavoro nel mondo del betting posso dirti che ci sono compliance che chiedono crittografia di informazioni sensibili per questo business. Ad esempio i metodi di pagamento richiedono un particolare comportamento per lo storaggio delle carte..

>Grazie ancora!!
purtroppo approfondire è dura, ma è un mondo a parte e ci vorrebbe una sola figura (o più se coinvolgi più tier del tuo ambiente) che gestisca questa problematica molto delicata.

--
Alessandro Alpi | SQL Server MVP
MCP|MCITP|MCTS|MCT

http://www.alessandroalpi.net
http://blogs.dotnethell.it/suxstellino
http://mvp.microsoft.com/profiles/Alessandro.Alpi
Partecipa anche tu! Registrati!
Hai bisogno di aiuto ?
Perchè non ti registri subito?

Dopo esserti registrato potrai chiedere
aiuto sul nostro Forum oppure aiutare gli altri

Consulta le Stanze disponibili.

Registrati ora !
Copyright © dotNetHell.it 2002-2017
Running on Windows Server 2008 R2 Standard, SQL Server 2012 & ASP.NET 3.5