Come generare nonce per le richieste web Ajax

Naviga le tue risposte
3

Come molti di voi sanno che WordPress usa la "chiave segreta" per ogni richiesta AJAX. Rendere ogni richiesta unica e anche "un po '" sicura (solo un passo avanti rispetto a nulla). Come potrei implementare lo stesso usando PageMethods (metodi di webservice all'interno della pagina aspx) nell'applicazione asp.net. Alcune cose che ho già preso in considerazione sono l'autenticazione e l'autorizzazione per accedere alla pagina.

Mi piacerebbe sapere Come generare la stessa chiave nonce / secret in C # per l'applicazione asp.net?

Inoltre questo non influisce sulle prestazioni dell'applicazione come 100 mila utenti lo usano e ogni volta che il metodo deve passare attraverso la crittografia, la generazione di numeri casuali ecc.?

C'è un modo per controllare se i dati pubblicati sono effettivamente pubblicati. Verifica dell'integrità dei dati pubblicati?

È necessario seguire schemi di progettazione per proteggere la logica dell'applicazione? Ne esiste uno per rendere la tua applicazione almeno alquanto sicura?

    
posta Deeptechtons 12.04.2011 - 11:16
fonte

1 risposta

6

I would like to know How to generate the same nonce/secret key whatever in C# for asp.net application?

Leggi sull'autenticazione del digest HTTP. È descritto abbastanza bene lì.

link

Also doesn't this affect the performance of the application like 100 thousand users use it and each time the method has to go through encryption, random number generation etc..?

Quasi. Ricorda: la connessione al desktop dell'utente è il collo di bottiglia. Il controllo di un nonce è generalmente banale, dal momento che è un semplice digest esadecimale di dati già disponibili.

Is there any way I can check if posted data is what was actually posted. Checking the integrity of posted data?

Leggi su Cross Site Request Forgery (CSRF).

link

Do you need to follow design patterns to secure application logic?

Sì.

Does one exist to make your application at the least somewhat secure?

Non "Uno".

Molto e molto.

Non c'è "un po '" sicuro. C'è sicurezza e non funziona.

Inizia con la lista dei primi dieci di OWASP e leggi le vulnerabilità.

link

Quindi, trova un framework che faccia questo per te e utilizzi il framework.

Non costruisci il tuo. È già stato fatto per te. Scegli un framework che lo faccia.

Perché la sicurezza è binaria. "la sicurezza perfetta" è un ossimoro - esiste solo dove non ci sono informazioni scambiate.

"Sicurezza" non significa "perfetto". Significa "buono come la tecnologia attuale consente in base alle circostanze che abbiamo accettato di condividere le informazioni, e devo presumere che non stai mentendo".

Se vuoi "un po 'sicuro", allora stai implementando "un po' insicuro".

Se hai intenzione di implementare un po 'insicuro, devi effettivamente scegliere il tipo specifico di insicurezza che stai per implementare. In generale, è necessario fornire informazioni private, consentire l'adulterazione delle informazioni o consentire un attacco denial of service. Scegli alcune combinazioni di cose che implementerai in un'applicazione "alquanto sicura".

Cerca di evitare di scegliere l'insicurezza "dare via la password di root" se puoi. Di solito, questo è isomorfo per "il più sicuro possibile".

    
risposta data 12.04.2011 - 13:11
fonte

Leggi altre domande sui tag

Migliorare la gestione delle eccezioni? [duplicare] Che cosa rende grande un'interfaccia di gestione utente eccellente? [chiuso]