2
我已經構建了一個使用ASP.NET(.NET 4)附帶的登錄類來管理用戶帳戶和密碼的網站。ASP.NET的登錄類是否安全?
這些類對於可公開訪問的網站是否足夠安全?如果我正在開發一家銀行的網站,而不是爲一家酒吧設計一個愚蠢的定製CMS?
更新:我不知道ASP> NET有其他登錄類。我指的是這些。 http://msdn.microsoft.com/en-us/library/ms178329.aspx
A
回答
1
如果配置正確,FormsAuthentication被廣泛使用並且相對安全。
確保您添加的machineKey,(你可以生成一個在這裏http://aspnetresources.com/tools/machineKey這是在MSDN網站上提供相同的鏈接)
- 如果其系統的安全部分;考慮將會話超時設置得較低(10/15分鐘便利vs安全)。
- 確保您的會員服務提供商設置一個良好的HASH算法,即
<membership userIsOnlineTimeWindow="15" hashAlgorithmType="SHA512"> - 和供應商本身被設置爲散列,而不是加密
passwordFormat="Hashed" - 和你RoleManager(如果你使用的角色)和窗體身份驗證部分包含cookies的配置;
cookieProtection="All"
其中的密碼重置系統是個玩笑;我不會複製和粘貼自己,但你可以看到在這裏重置密碼的更好方法https://stackoverflow.com/questions/10213124/combine-passwordrecovery-and-changepassword-control/10237107#10237107
這基本上是一個好的開始;您還可以看看特洛伊狩獵成員安全指南http://www.troyhunt.com/2010/07/owasp-top-10-for-net-developers-part-3.html
哦,總是收集用戶信息/手柄登錄/註冊,並在 HTTPS(SSL)。並嘗試使用某種驗證令牌(MVC https://www.google.co.uk/search?sourceid=chrome&ie=UTF-8&q=msdn+AntiForgeryToken中的一種驗證令牌),這可以減少CSRF的攻擊情況,並且基本上可以蠻力。
+0
有趣的東西。謝謝。 – billpg 2012-04-20 13:05:40
2
是的,他們是足夠安全..這些可以爲您提供廣泛的功能,如根據演員和許多其他事情限制網頁瀏覽。
相關問題
- 1. 安全登錄或登錄檢查asp.net
- 2. 我的登錄會話是否安全?
- 3. ASP.NET登錄和安全
- 4. Asp.Net MVC 3安全登錄
- 5. 此登錄功能是否安全?
- 6. 在ASP.NET MVC中的登錄安全性
- 7. ASP.Net jQuery AJAX登錄安全嗎?
- 8. 安全自定義登錄控制ASP.NET
- 9. 我的登錄系統是安全的?
- 10. php安全登錄
- 11. 登錄/ Cookie安全
- 12. 安全登錄php
- 13. Wordpress登錄安全
- 14. Javascript Facebook登錄 - 什麼是最安全的登錄方式?
- 15. 這種驗證/登錄用戶的方法是否安全?
- 16. 安全登錄的ZK
- 17. Rails - 安全的HTTP登錄?
- 18. https登錄的安全性?
- 19. 安全登錄(Java Servlet的)
- 20. 安全的Facebook登錄
- 21. PHP - 安全的MySQL登錄
- 22. 春季安全登錄/註銷登錄
- 23. Symfony2:安全/安全登錄和註銷
- 24. ASP.Net目錄安全
- 25. 是否有可能使用powershell登錄https站點(安全http)
- 26. PHP AJAX登錄,這種方法是否安全?
- 27. 考慮SQL注入這個PHP登錄技術是否安全?
- 28. 是否從HTTP頁面發送登錄憑據安全?
- 29. 此登錄腳本是否正常/當前/安全?
- 30. PHP AJAX登錄,這種方法是否安全?
您在談論哪些ASP.NET登錄類? – Veronica 2012-01-08 14:00:39
這些... http://msdn.microsoft.com/en-us/library/ms178329.aspx – billpg 2012-01-08 14:33:27