Home Page
Articoli
Tips & Tricks
News
Forum
Archivio Forum
Blogs
Sondaggi
Rss
Video
Utenti
Chi Siamo
Contattaci
Username:
Password:
Login
Registrati ora!
Recupera Password
Home Page
Stanze Forum
ASP.NET 2.0 / 3.5 / 4.0
Sicurezza applicazione ASP.NET 4
venerdì 30 novembre 2012 - 11.06
Elenco Threads
Stanze Forum
Aggiungi ai Preferiti
Cerca nel forum
Elenco Tags
C#
|
VB.NET
|
.NET 4.0
|
Windows Server 2008 R2
|
Windows Server 2008
|
Windows Server 2003
|
Visual Studio 2010
|
SQL Server 2008 R2
|
SQL Server 2008
_jack_
Profilo
| Junior Member
125
messaggi | Data Invio:
ven 30 nov 2012 - 11:06
Buongiorno a tutti,
finalmente sono riuscito a realizzare la mia prima applicazione in ASP.NET 4.
Questa applicazione, molto semplice per ora, è una sorta di data entry per popolare un'anagrafica.
All'avvio è richiesta una login al sistema.
Volevo sapere se, ovviamente oltre al login, era necessario prendere altre precauzioni riguardo la sicurezza, in quanto questa applicazione sarà distribuita nel www e chiunque potrà visitare il sito in questione.
Grazie anticipatamente
Saluti
J
alx_81
Profilo
| Guru
8.814
messaggi | Data Invio:
lun 3 dic 2012 - 19:28
>Buongiorno a tutti,
Ciao
>Volevo sapere se, ovviamente oltre al login, era necessario prendere
>altre precauzioni riguardo la sicurezza, in quanto questa applicazione
>sarà distribuita nel www e chiunque potrà visitare il sito in
>questione.
la domanda è tosta e meriterebbe una chiacchierata di una settimana :)
Diciamo che intanto dovresti scegliere come fare l'autenticazione. Asp.net fornice metodi preimpostati.
Poi, il come accedi al database per evitare che ci siano buchi di sicurezza (vedi i vari xss e SQL injection).
Poi, il trattamento dei dati sensibili per cui ti potrebbe servire un accesso https (serve un certificato SSL costoso). Poi dipende da quello che tratti, pensa ad un carrello, serve sincronia tra i dati client e server. Ancora, le validazioni. Farle possibilmente sia sul client che sul server. Ma mai solo su client.. Per non dimenticare la crittografia dei dati per cui a volte le varie compliance sono necessarie.. E via di seguito..
>Grazie anticipatamente
di nulla!
>J
--
Alessandro Alpi | SQL Server MVP
MCP|MCITP|MCTS|MCT
http://www.alessandroalpi.net
http://blogs.dotnethell.it/suxstellino
http://mvp.microsoft.com/profiles/Alessandro.Alpi
_jack_
Profilo
| Junior Member
125
messaggi | Data Invio:
mar 4 dic 2012 - 14:31
Ciao e grazie per la risposta!
>Diciamo che intanto dovresti scegliere come fare l'autenticazione.
>Asp.net fornice metodi preimpostati.
Tu cosa consigli? Io ho provato a du sare le Membership ma poi mi sono ritrovato a dover gestire due anagrafiche (quella delle membership e quella dei miei utenti).
>Poi, il come accedi al database per evitare che ci siano buchi
>di sicurezza (vedi i vari xss e SQL injection).
Ok, mi sono documentato.
>Poi, il trattamento dei dati sensibili per cui ti potrebbe servire
>un accesso https (serve un certificato SSL costoso).
A livello di codice devo modificare qualcosa se uso il protocollo HTTPS piutto sto che HTTP?
>Poi dipende
>da quello che tratti, pensa ad un carrello, serve sincronia tra
>i dati client e server. Ancora, le validazioni. Farle possibilmente
>sia sul client che sul server. Ma mai solo su client..
Ok, quello l'ho già considerato.
>Per non
>dimenticare la crittografia dei dati per cui a volte le varie
>compliance sono necessarie..
Per crittografia dei dati cosa si intende precisamente?
Vuol dire mettere sul DB un "nome" criptato tipo "Mario Rossi" -> "ydyasdua jdjabfajfb"?
>E via di seguito..
>di nulla!
Grazie ancora!!
alx_81
Profilo
| Guru
8.814
messaggi | Data Invio:
mar 4 dic 2012 - 16:12
>Tu cosa consigli? Io ho provato a du sare le Membership ma poi
>mi sono ritrovato a dover gestire due anagrafiche (quella delle
>membership e quella dei miei utenti).
una custom membership, che sfrutta il motore ma che reimplementa le entità.
>Ok, mi sono documentato.
Se vuoi ho scritto qualcosa anche:
http://www.dotnethell.it/articles/SQL-Injection-Tutorial-Security.aspx
>HTTPS piutto sto che HTTP?
No, certificato per crittografare il passaggio delle info
>Per crittografia dei dati cosa si intende precisamente?
>Vuol dire mettere sul DB un "nome" criptato tipo "Mario Rossi"
>-> "ydyasdua jdjabfajfb"?
Beh i dati sensibili, tipo la pwd. Ma dipende cosa fai. Io che lavoro nel mondo del betting posso dirti che ci sono compliance che chiedono crittografia di informazioni sensibili per questo business. Ad esempio i metodi di pagamento richiedono un particolare comportamento per lo storaggio delle carte..
>Grazie ancora!!
purtroppo approfondire è dura, ma è un mondo a parte e ci vorrebbe una sola figura (o più se coinvolgi più tier del tuo ambiente) che gestisca questa problematica molto delicata.
--
Alessandro Alpi | SQL Server MVP
MCP|MCITP|MCTS|MCT
http://www.alessandroalpi.net
http://blogs.dotnethell.it/suxstellino
http://mvp.microsoft.com/profiles/Alessandro.Alpi
Torna su
Stanze Forum
Elenco Threads
Partecipa anche tu! Registrati!
Hai bisogno di aiuto ?
Perchè non ti registri subito?
Dopo esserti registrato potrai chiedere
aiuto sul nostro
Forum
oppure aiutare gli altri
Consulta le
Stanze
disponibili.
Registrati ora !