Panoramica sui tre tipi di autenticazioni Windows, Form e Passport... breve spiegazione di qualla windows per poi immergersi nella Forms Authentication e lasciare nel dimenticatoio quella passport, snort :( Nulla di nuovo durante la sessione.. solo qualche conferma, queste le raccomandazioni:
- uso del sistema di autenticazione/autorizzazione di ASP.NET e la gestione dei ruoli;
- criptazione della password nel dababase usando System.Security.Cryptography o con FormsAuthentication.HashPasswordForStoringInConfigFile e comunque mai mettere in chiaro le cose segrete, la base dati può essere hackerata (questa avrei preferito fosse più approfondita... e non mancherò di farlo io...)
- uso (se possibile) di HTTS per le pagine dove passa in chiaro utente e password;
- uso di HtmlEncode soprattutto per i dati che arivano da input esterno per evitare script injection (un problema più che altro fastidioso), a tal proposito è interessante l`uso della proprietà ValidateRequest delle WebForm;
- uso dei parameters per eviatare SQL injection (un problema molto dannoso!);
- usare Store Procedure e dare all`utente ASP la possibilità solo di accedere ai dati passando da esse (ma su questa si potrebbe aprire un lunghissimo dibattito!)
In generale molte che ritengo note anche se ho come l`impressione che non siano poi note a tutti! :(
posted @ giovedì 3 luglio 2003 19:39