3
我對aspnet_membership有一些疑問。我公司的數據庫團隊不讓我使用aspnet_membership。因爲這個功能使用一些存儲過程來安裝一些破壞我公司策略的東西。他們說這個功能可能會帶來一些風險,但我不知道如果我使用它會帶來什麼風險。如果我使用aspnet_membership,有什麼風險
有沒有人有任何想法或有關這個問題的原因?
A
回答
7
你的「數據庫團隊」顯然是偏執狂。如果aspnet_regsql.exe工具創建數據庫,他們會預期哪種安全風險?我可以理解,許多管理員使用嚮導感到不安,因爲他們想知道幕後到底發生了什麼。在這種情況下,命令行工具允許您高度自定義,並且應該優先於嚮導模式。
也許你和你的數據庫團隊應該閱讀該工具的published implementation,而不是對你無知的東西表示ob。。如果您仍然發現「Creating the Application Services Database for SQL Server」過大,可以創建自己的MembershipProviders和PersonalizationProviders並將它們與您自己的數據庫結構合併。
0
我知道這是一個古老的問題,但(像最好的問題一樣)讓我思考。
我可以看到你的數據庫團隊在某些情況下的角度來看:
您如有需要一個製造職責和每一個變化的全面的一步一步的文檔的完全分離法規遵從環境。這意味着您不能只靠自己運行任何實用程序(無論文檔多麼完備或經過測試);您必須將其交給另一個團隊審批,並且該團隊必須理解(理論上)所有潛在的影響。
也許在對象安全策略中存在非常細化的對象,並且數據庫團隊認爲自動生成的表結構會違反此規則。
不是安全漏洞,但取決於您所使用的命名標準,由該工具創建的表/過程可能會違反這些約定。
也許你在財務或醫療保健方面工作,並且必須滿足一組特定的安全要求。無論是通過無知還是研究,您的數據庫團隊都認爲會員數據庫不符合這些要求。
我曾與許多公司有嚴格的安全政策,往往會導致大量額外的時間花費。相反,不遵守這些政策的後果可能會帶來如此嚴重的後果(在美國這裏數百萬美元的罰款),那麼警惕/偏執往往會勝出。
總之:如果ASP.Net認證/授權方案非常合適,那就花時間在數據庫團隊內部進行教育,以便他們能夠對此感到滿意。聽取他們的反對意見;數據庫管理員可能過度保護他們的環境,但他們經常負責公司的關鍵資產。
正如@Cerebrus指出的那樣,有許多不同的方式來使用ASP.Net安全。嘗試利用有意義的部分。如果你的數據庫團隊仍然沒有「得到它」(或提出有效的反對意見),還有很多其他方法可以在ASP.Net中實現健壯的安全性,但他們只需要付出更多的努力。
相關問題
- 1. 使用xpath有什麼安全風險?
- 2. 使用Macports有什麼風險?
- 3. 風險分析與風險緩解有什麼區別?
- 4. 你有什麼風險管理策略?
- 5. UnsafeMutablePointer <UInt8>:有什麼風險?
- 6. 多次SubmitChanges有什麼風險?
- 7. 在Android平臺上使用棄用方法有什麼風險?
- 8. 什麼是aspnet_Users和aspnet_Membership?我應該使用哪一個?有什麼不同?
- 9. 在centos上使用apt-get有什麼風險?
- 10. 使用提取的PHP超全球植物有什麼風險?
- 11. 使用數據有什麼風險:image/jpeg; base64?
- 12. 什麼是禁用ngSanitize的風險?
- 13. 初始化變量 - 爲什麼以及有什麼風險?
- 14. 如果我使用委託進行視圖控制器之間的通信,我將承擔什麼風險?
- 15. Emacs中的「風險」是什麼?
- 16. 使用svn有什麼危險?
- 17. 讓用戶上傳和運行Javascript有什麼風險
- 18. 我是否有POST風險的CSRF攻擊風險,不需要用戶登錄?
- 19. 使用Rational Team Concert有哪些風險?
- 20. 如果我向Web用戶界面披露數據庫字段名稱,有什麼安全風險?
- 21. 沒有CSRF標記的表單:有什麼風險
- 22. 調用外部JS和CSS到我的網站 - 有什麼風險
- 23. 使用AF_UNSPEC的缺點/風險是什麼?
- 24. 使用Flex時存在什麼安全風險
- 25. 爲什麼使用'*'作爲postMessage的targetOrigin存在安全風險?
- 26. 風險使用PHP的eval
- 27. 我的HTML表單有風險嗎?
- 28. 風險
- 29. 風險
- 30. 使用「for(i = 0; elem = array [i]; i ++)」來迭代數組有什麼風險?