ApplicationName 得到的启示
摘要:不知道大家有没有遇到过这样的情况,在测试环境中,ASP.NET程序一切运行正常,可一旦部署到远程IIS server上时,membership验证就出现问题了,提示“登录失败,请重试”。如果你遇到过这种情况,请看如下解释。
阅读全文
posted @ 2009-02-18 10:07
随笔分类 - ASP.NET Security
ASP.NET程序的安全问题。比如帐户权限控制,怎样与IIS协作,怎样访问SQL SERVER等。
web.config 文件加密
摘要:一般来说,我们是需要对web.config文件中的一些敏感信息加密的。通常如下节点会考虑加密,除此之外,很多节点通常都不会被加密,甚至于不能被加密:
1) 一般包含一些我们自定义的信息。
2) 这个大家比较熟悉,包含连接数据库用的字符串。
3) 包含使用impersonate时的账户信息。
4) 包含将session置于process外的连接字符串。
阅读全文
posted @ 2009-01-23 13:19
ASP.NET2.0 验证cookie详解
摘要:对于ASP.NET Forms验证,想必大家都非常的熟悉。然而,在控制用户的(过期时间)expired time的时候,你是否遇到过一些奇怪的现象呢?虽说只是一个小小的cookie,但是其中可能有很多的东西你都不知道。今天我将和大家讨论一下cookie的注意点。
阅读全文
posted @ 2009-01-20 15:57
用WAST来远程管理ASP.NET的user和role
摘要:相信大家在开发ASP.NET程序的时候都使用过ASP.NET Configuration这个菜单。点击这个菜单时,Visual Studio将会启动一个WebServer,进而有一个叫做ASP.NET Web Admin Tool的页面将会帮助你管理整个ASP.NET程序的user和role。比如新建用户,删除用户,新建角色,分配角色等等。有了这个Tool,我们可以非常方便的在开发时来管理membership和role。然而,当ASP.NET程序Publish到IIS上后,你是用什么来进行远程管理的呢?许多人会用开发自己的模块来进行管理,也有些人也会使用一些开源的模块来进行管理。然而功能性和稳定性都可能比.NET自带的管理工具(WAST)要差。我们知道在开发时通过Visual Studio使用WAST,但不知道怎样能直接使用这个模块。这篇随笔将和大家一起探讨怎样把这个强大的功能据为己有 :)
阅读全文
posted @ 2009-01-15 14:16
ASP.NET 代码访问安全 (Code Access Security)
摘要:前两天我写了一篇关于ASP.NET程序权限的随笔,今天继续和大家讨论下代码访问安全。
代码访问安全(Code Access Security),顾名思义,是用来限制代码的。它能限制代码能否被执行,进而来限制ASP.NET程序能执行什么样的操作。比如CAS限制你不允许使用FileIOPermission class,那么ASP.NET程序便不能进行IO操作。同样,如果限制你使用SqlClientPermission class,ASP.NET程序便不能进行SQL Server的操作。
阅读全文
posted @ 2009-01-12 11:34
ASP.NET 程序权限问题
摘要:谈到ASP.NET程序的权限,一般可分为两种:
1) 账户的权限。
2) 代码的权限。
账户的权限可以限制运行在这个账户下的所有ASP.NET程序能进行什么样的操作,而代码的权限是ASP.NET程序里独有的,它规定了ASP.NET程序能够访问什么样的资源,比如数据库,文件等等。他们对ASP.NET程序是共同影响的,简单地说,ASP.NET程序表现出来的是他们共同作用的交集。
阅读全文
posted @ 2009-01-09 15:22
