Qual è la reputazione del framework di appartenenza ASP.NET per quanto riguarda la sicurezza? Ci sono delle tipiche impostazioni di configurazione di default che sono problematiche? Quali migliori pratiche ci sono? Esistono metodi integrati per combattere cose come il dirottamento di sessione?Quanto è sicuro il framework di appartenenza ASP.NET?
Per quanto riguarda le migliori pratiche, c'è un breve Wiki chiamata ASP.NET 2.0 Security Inspection Questions che elenca considerazioni di sicurezza quando si utilizza un provider di appartenenza. Potrebbe essere di qualche utilità?
Non sono sicuro se questo è un problema per i bit di appartenenza ASP.NET di per sé, ma non dimenticare di assicurarsi che sul server sia presente un segreto generato e autenticato su POST in modo da poter essere sicuri che il post del modulo proviene dalla tua app.
Ci possono essere altri (migliore) modi per fare questo, sto solo condividendo quello che so
Omar Al Zabir bloggato su alcuni aggiornamenti che ha fatto per le stored procedure che sono stati necessari per un'implementazione sito ad alto utente . Il suo suggerimento è sostanzialmente quella di utilizzare
WITH (NOLOCK)
o
SET TRANSACTION ISOLATION LEVEL READ UNCOMMITTED
prima che le query SELECT nelle procedure di adesione memorizzato.
Optimize asp net membership stored procedures for greater speed and scalability
collegamento piacevole, ma che risolve le prestazioni/scalabilità più della robustezza della sicurezza – kenwarner
vero .. Stavo rispondendo alla parte delle "migliori pratiche" ... Sulla rilettura della domanda che potrebbe essere stata la migliore prassi per la sicurezza piuttosto che la migliore pratica in generale ... immagino che non vi sia nulla di male nel lasciare la risposta in ogni caso? –