Как создать безопасную страницу входа с помощью VS 2010 / ASP.Net / VB.Net?

#asp.net #vb.net #security #encryption #login

#asp.net #vb.net #Безопасность #шифрование #аутентификация

Вопрос:

Я хотел бы создать защищенную страницу входа для заранее определенного набора пользователей (чтобы сами пользователи не создавали имя пользователя / пароли). Я просмотрел несколько сайтов, и все они, похоже, предлагают использовать членство в Microsoft или что-то в этом роде. Я не очень уверен в том, почему это используется, но все, что вам нужно знать, это то, что я буду создавать данные для входа. Мне просто нужно сделать вход в систему безопасным, то есть без дублирования учетных записей, без входа в систему из разных браузеров, файлов cookie, сеансов, шифрования и всего такого. У кого-нибудь есть код / ссылки, где я могу все это получить? Заранее спасибо.

Комментарии:

1. Я думаю, что вы движетесь в неправильном направлении. Почему логин без дублирования обеспечивает безопасность? Почему другой браузер обеспечивает безопасность? очень легко отправить ложные данные о браузере. Вход в Microsoft очень хорош и безопасен, посмотрите любой учебник и просто используйте его. Остальные, по вашим словам, вообще не защищены.

2. @Aristos: Под дублированием входа я подразумеваю, что один и тот же пользователь не должен иметь возможности повторно войти в систему ни в том же, ни в другом браузере. Это обязательное условие. Где я могу найти статьи о входе в Microsoft? Пожалуйста, обратите внимание, что я буду создавать учетные данные для входа, и поэтому мне не понадобится членство или что-либо в этом роде.

3. Чтобы избежать двойного входа, вы просто проверяете, готов ли пользователь к входу в систему. Я думаю, что вы можете найти много руководств по входу в ms в Google.

Ответ №1:

Здесь у вас есть несколько вариантов.

Пример 1. Создайте собственную систему безопасности, но имейте в виду, что вы будете что-то контролировать. Безопасность — это непросто, и ооочень легко что-то упустить из виду. Хэширование, обработка, шифрование и т.д…

Пример 2. Если это простой сайт, просто используйте Microsoft memberschipprovider. Это хорошо, и они тратят 3 года на ее настройку / исправление. Вы также можете переопределить memberschipServiceprovider для реализации некоторой дополнительной безопасности. или указать memberschipprovider, какие данные следует использовать.

Необязательно: расширьте свой сервер ISS этим брандмауэром с открытым исходным кодом : http://www.aqtronix.com /?PageID= 99 Она предоставляет несколько интересных функций «бесплатно» (если у вас есть доступ к ее установке).

Наилучшая безопасность — это когда вы находите баланс между безопасным и доступным и высокозащищенным и недоступным.

И чтобы ответить на часть вашего вопроса со ссылкой: http://www.owasp.org/index.php/Main_Page

Если вам нужна дополнительная информация о сервисе Microsoft memberschipprovider: Google 🙂 или Bing, или yahooooo!

Удачи