Un controllo di sicurezza richiede utente / pass in accesso per l'accesso in asp.net - questo sembra inutile o no?

3

Stiamo usando asp.net mvc, usando l'autenticazione basata su form. Nome utente e password vengono inviati al server con TLS con un certificato sicuro e sicuro. La loro giustificazione per questo:

minaccia: "il server Web utilizza l'autenticazione modulo semplice, se un utente malintenzionato con accesso al traffico di rete da e verso l'host di destinazione può essere in grado di ottenere credenziali di accesso sniffando il traffico di rete."

Questo è un problema per qualsiasi sito web, e imo suona come una perdita di tempo. Ho cercato di trovare una giustificazione per farlo. La migliore risposta che ho trovato è stata qui:

È sicuro inviare nomi utente / password chiari su una connessione https per autenticare gli utenti?

fondamentalmente non ne vale la pena e può fare più male che bene. Qualcuno può approfondire il danno?

Poiché questo è asp.net penso che dovrò scrivere un modulo di autenticazione personalizzato come qui:

link

Credo che questo introduca più rischi che benefici. cioè il modulo non funziona in alcuni scenari caso limite. Cosa pensi? Qualche altro rischio a cui non sto pensando?

    
posta Neophyte.net 06.12.2017 - 23:30
fonte

1 risposta

2

Ciò che afferma il revisore dei conti - è un problema per il trasporto non criptato (semplice HTTP, senza HTTPS). In questo caso, i dati di autenticazione vengono inviati sulla rete in testo semplice. Qui è dove HTTP S viene in soccorso. Come è stato menzionato nei commenti, una volta che i dati raggiungono il modulo di rete (nel caso della connessione HTTPS), i dati saranno crittografati e protetti durante la trasmissione. E le credenziali in chiaro su un lato client non sono più un problema.

Quello che vorrei aggiungere qui è che l'intero sito web dovrebbe essere coperto da HTTPS e nessuna pagina viene caricata in un semplice HTTP. Una volta autenticato, l'utente riceve il cookie di autenticazione che viene inviato al server con ogni richiesta di pagina. Questo è il modo in cui il server ti autentica. E se un utente malintenzionato può prendere questi cookie, sarà in grado di impersonare l'entità memorizzata in questi cookie. Anche senza possedere il login e la password dell'utente.

È possibile trovare consigli per l'utilizzo corretto dell'HTTPS e la configurazione della sicurezza del server per mitigare la maggior parte dei potenziali difetti nell'applicazione Web. Ad esempio, puoi fare riferimento a questo: Foglio di trucchi sulla protezione del layer di trasporto .

P.S. e sono d'accordo con @joe sul fatto che troppi auditor non hanno idea di cosa stiano parlando. Nella maggior parte dei casi eseguono semplicemente il loro software [vulnerability scanner?] Senza scavare e / o analizzare in cosa esattamente dice.

    
risposta data 07.12.2017 - 08:37
fonte

Leggi altre domande sui tag