Seguridad en las aplicaciones ASP.NET

Por lo general, un sitio web ASP.NET es accesible por cualquier persona que se conecta al servidor que aloja a través de una red local o Internet. A pesar de esta situación es ideal para una variedad de aplicaciones web, pero no siempre es la elección adecuada del proyecto (por ejemplo, un sitio de comercio electrónico tiene como requisito previo para la seguridad de las transacciones financieras realizadas por sus usuarios, que no se ve favorecida por la accesibilidad) .

ASP.NET proporciona un modelo de seguridad para la protección de aplicaciones web potente y flexible profundamente, pero puede comenzar a crear una cierta confusión debido a los diferentes niveles que incluye.

La mayoría del trabajo de un programador para administrar la seguridad de aplicaciones web es escribir el código, pero no en la determinación de los lugares apropiados para la implementación de estrategias de seguridad diferentes. El primer paso es, por tanto, decidir qué áreas requieren la aplicación de los controles de seguridad y lo que deben ser protegidos.

El concepto de seguridad no es complejo sino que abarca diversos aspectos y niveles y por lo tanto a menudo termina siendo considerada compleja. Consideremos, por ejemplo, un sitio de comercio electrónico que permite a los usuarios ver los resúmenes de sus pedidos recientes. La primera línea de defensa que un sitio como este es para manejar el procedimiento de conexión, por lo que cada usuario se identifica, antes de que puedan ver sus datos. Esto es sólo una de las capas de seguridad que debe administrar el sitio, ya otro, por ejemplo, la protección de bases de datos que contienen datos confidenciales y una mayor protección de las transacciones financieras (cifrado). A partir de este sencillo ejemplo se puede imaginar la variedad de cosas a considerar.

Cuando se diseña una aplicación web tanto, es conveniente tener en cuenta los diferentes escenarios de ataque en el que la misma puede estar involucrado, aunque es muy difícil determinar de antemano todos. Por esta razón, es conveniente dividir la seguridad en múltiples niveles.

Como parte de las solicitudes de aplicaciones web son manejados inicialmente por la web el servidor IIS, el cual examina el tipo de archivo. Si el tipo tiene una validez de servidor ASP.NET pasa la solicitud para que sea procesado.

La siguiente imagen (tomada del sitio de Microsoft) es un ejemplo de estos pasos

Como se puede ver el cliente web y las aplicaciones ASP.NET interactuar con el servidor IIS y determina si el cliente solicita puede venir o no las aplicaciones. El sistema operativo está en otra parte interactúa con las aplicaciones (por medio del. NET Framework), con el servidor IIS. En este esquema se puede aplicar la seguridad en varios puntos.

• <<
• 1
• 2
• 3
• 4
• 5
• >>