...o quasi! :)
Ho seguito la sessione sulla sicurezza in ASP.NET tenuta da Scott Guthrie, del team di sviluppo ASP.NET. Dovrebbe essere una sessione incentrata su come rendere sicuro ASP.NET.
L'inizio è poco incoraggiante: un'overview dei vari metodi di autenticazione (forms, windows, passport) con la spiegazione di come implementarli e relative demo. Ovviamente, quella che mi interessava di più (passport) non è stata fatta vedere, probabilmente per motivi di tempo. Scocciante.
La sessione non migliora poi molto: continua con spiegazione e demo dell'autenticazione basata sui ruoli, e brevi accenni all'encryption (Request.isSecureConnection per controllare la connessione ed il namespace System.Security.Cryptography per usare MD5, 3DES e compagnia) ed ai modi più comuni per bucare un'applicazione web (principalmente injection). Interessante, ma troppo corta e generica (l'utilizzo di HtmlEncode spero lo sappiano molti se non tutti di quelli che sviluppano su web).
Sono anche state fornite alcune novità (tipo la possibilità sotto windows 2003 server di creare un utente per _ogni_ applicazione ASP.NET) ed alcuni consigli (tipo l'utilizzo di ASPNET_setreg.exe col framework 1.1 per cryptare utente e password di processo nel machine.config) nel corso della sessione, ma francamente avrei aumentato di molto la parte sull'encryption e sull'injection e levato molta parte sull'autenticazione windows e form (o almeno avrei fatto qualcosa di più che spiegare cosa sono e basta, che immagino lo sappiano tutti). Non male in fondo, se non fosse stata troppo semplice!