Un controllo di sicurezza richiede utente / pass in accesso per l'accesso in asp.net - questo sembra inutile o no?

Naviga le tue risposte
3

Stiamo usando asp.net mvc, usando l'autenticazione basata su form. Nome utente e password vengono inviati al server con TLS con un certificato sicuro e sicuro. La loro giustificazione per questo:

minaccia: "il server Web utilizza l'autenticazione modulo semplice, se un utente malintenzionato con accesso al traffico di rete da e verso l'host di destinazione può essere in grado di ottenere credenziali di accesso sniffando il traffico di rete."

Questo è un problema per qualsiasi sito web, e imo suona come una perdita di tempo. Ho cercato di trovare una giustificazione per farlo. La migliore risposta che ho trovato è stata qui:

È sicuro inviare nomi utente / password chiari su una connessione https per autenticare gli utenti?

fondamentalmente non ne vale la pena e può fare più male che bene. Qualcuno può approfondire il danno?

Poiché questo è asp.net penso che dovrò scrivere un modulo di autenticazione personalizzato come qui:

link

Credo che questo introduca più rischi che benefici. cioè il modulo non funziona in alcuni scenari caso limite. Cosa pensi? Qualche altro rischio a cui non sto pensando?

    
posta Neophyte.net 06.12.2017 - 23:30
fonte

1 risposta

2

Ciò che afferma il revisore dei conti - è un problema per il trasporto non criptato (semplice HTTP, senza HTTPS). In questo caso, i dati di autenticazione vengono inviati sulla rete in testo semplice. Qui è dove HTTP S viene in soccorso. Come è stato menzionato nei commenti, una volta che i dati raggiungono il modulo di rete (nel caso della connessione HTTPS), i dati saranno crittografati e protetti durante la trasmissione. E le credenziali in chiaro su un lato client non sono più un problema.

Quello che vorrei aggiungere qui è che l'intero sito web dovrebbe essere coperto da HTTPS e nessuna pagina viene caricata in un semplice HTTP. Una volta autenticato, l'utente riceve il cookie di autenticazione che viene inviato al server con ogni richiesta di pagina. Questo è il modo in cui il server ti autentica. E se un utente malintenzionato può prendere questi cookie, sarà in grado di impersonare l'entità memorizzata in questi cookie. Anche senza possedere il login e la password dell'utente.

È possibile trovare consigli per l'utilizzo corretto dell'HTTPS e la configurazione della sicurezza del server per mitigare la maggior parte dei potenziali difetti nell'applicazione Web. Ad esempio, puoi fare riferimento a questo: Foglio di trucchi sulla protezione del layer di trasporto .

P.S. e sono d'accordo con @joe sul fatto che troppi auditor non hanno idea di cosa stiano parlando. Nella maggior parte dei casi eseguono semplicemente il loro software [vulnerability scanner?] Senza scavare e / o analizzare in cosa esattamente dice.

    
risposta data 07.12.2017 - 08:37
fonte

Leggi altre domande sui tag

Ricevere molti spam dopo aver registrato un nuovo dominio su GoDaddy Nell'era di BadUSB, le schede micro SD sono un supporto alternativo sicuro immune da questo tipo di attacchi? [duplicare]