Quelle est la réputation de l'équipe d'adhésion ASP.NET en ce qui concerne la sécurité? Y a-t-il des paramètres de configuration par défaut typiques problématiques? Quelles sont les meilleures pratiques? Y a-t-il des méthodes intégrées pour lutter contre des choses comme la session du détournement?
3 Réponses :
Je ne sais pas si ceci est un problème pour les bits d'adhésion ASP.NET en soi, mais n'oubliez pas de vous assurer qu'il existe un secret généré sur le serveur et authentifié sur POST afin que vous puissiez être sûr que le Le poste de formulaire est venu de votre application.
Il peut y avoir d'autres moyens (mieux) de faire cela, je partage simplement ce que je sais
Omar Al Zabir a blogué sur certaines mises à jour qu'il a apportées aux procédures stockées nécessaires à une implémentation élevée du site utilisateur. Sa suggestion est essentiellement d'utiliser
SET TRANSACTION ISOLATION LEVEL READ UNCOMMITTED
Nice lien, mais qui aborde la performance / l'évolutivité Moreso que la robustesse de la sécurité
VRAI
En ce qui concerne les meilleures pratiques, il y a un court wiki appelé Les questions d'inspection de sécurité ASP.NET 2.0 qui répertorie les considérations de sécurité lors de l'utilisation d'un fournisseur d'adhésion. Il peut être d'une certaine utilisation?