像許多人一樣,我已經使用ASP.Net Forms身份驗證,因爲它已經寫入並編寫我們自己的安全代碼,所以我們被告知通常是一個壞主意。是否有不同的方式來執行已經構建和審計的ASP.Net表單身份驗證?
隨着與ASP.Net目前的問題,我想這可能是一個很好的時間來看看替代品。
- Important: ASP.NET Security Vulnerability - ScottGu
- Video demonstrating attack
- Microsoft advisory including workaround
從我的理解微軟傾向於東西存儲在客戶端,因爲它可以更容易,而無需數據庫訪問調用運行在服務器羣。
雖然我並不十分關心服務器農場,但我只想簡單地使用一個不透明的cookie來證明我對調用者不信任。
是否有一個體面的解決方案已被證明是可靠的?
更新:澄清我的問題。我正在談論我想要替換的表單身份驗證的身份驗證令牌部分。後端很容易替換,你可以很容易地實現接口來存儲你的用戶和角色。您也可以使用現有的庫,如http://www.memberprotect.net/,這裏已經提到過。
我想將流程的前端部分更改爲使用不爲客戶端提供任何槓桿的令牌。堅持現有的後端基礎設施將是有用的,但不是必需的。
你可以看看http://www.raboof.com/Projects/Madam/ – 2010-09-20 11:38:35
一般而言,我不要認爲任何其他身份驗證都可以更好地「開箱即用」 - 只需讓它不知道,以便爲什麼你不知道他是否有安全漏洞。它在你的手中使asp.net表單認證系統更安全。 – Aristos 2010-09-20 11:52:26
我同意Aristos--這個特殊的安全缺陷是針對AES加密算法的,如果使用了默認的錯誤頁面,那麼首先就不會有網站易受攻擊。 – IrishChieftain 2010-09-20 12:45:10