安全性如何在asp.net基本形式的认证？ [英] How secure is basic forms authentication in asp.net?

问题描述

假设你有一个简单的网站只有2页：login.aspx的和secret.aspx。您的网站使用只是ASP.net表单验证和login.aspx的一个ASP.net登录服务器控件保护。具体情况如下：

Imagine that you have a simple site with only 2 pages: login.aspx and secret.aspx. Your site is secured using nothing but ASP.net forms authentication and an ASP.net Login server control on login.aspx. The details are as follows:

• 该站点配置为使用SqlMembershipProvider的


• 该网站拒绝所有匿名用户


• Cookie已停用

该显然很多事情要考虑有关安全，但我更感兴趣的是零code出随.NET框架箱的经验。

The are obviously many things to consider regarding security but I am more interested in the zero code out of box experience that comes with the .net framework.

如果，对于这个问题的缘故，唯一的攻击点都在login.aspx的用户名/密码文本框，可以在黑客注入code，使他们能够访问我们​​的网页secret.aspx？

If, for the sake of this question, the only attack points are the username/password textboxes in login.aspx, can a hacker inject code that will allow them to gain access to our secret.aspx page?

如何安全是零code外的全新体验，微软提供？

How secure is the zero code out-of-box experience that Microsoft provides?

推荐答案

您仍然有一些变量未占到：

You still have some variables that aren't accounted for:

• 安全性成您的会员供应商所使用的数据存储（在这种情况下，SQL Server数据库）。


• 在同一IIS托管的其他网站的安全


• 参与主办该网站的机器一般的网络安全，或者该网站托管在同一网络上


• 主办该网站的机器的物理安全


• 您使用适当的措施来加密认证的流量？ （HTTPS / SSL）

并非所有的这些问题都是具体的MS，但他们值得一提的，因为任何人可以很容易地超过你问一下，如果不照顾的问题。但是，对于你的问题的目的，我假设有没有跟他们任何问题。

Not all of those issues are MS specific, but they're worth mentioning because any of them could easily outweigh the issue you're asking about, if not taken care of. But, for the purpose of your question I'll assume there aren't any problems with them.

在这种情况下，我是pretty确保窗体身份验证做什么它应该做的。我不认为有任何当前活跃利用那里。

In that case, I'm pretty sure the forms authentication does what it's supposed to do. I don't think there's any currently active exploit out there.

这篇关于安全性如何在asp.net基本形式的认证？的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！