0

我们正在为我们的应用程序实施安全性。项目负责人已经决定他希望我们扮演自己的角色,但作为首席开发人员,当我的时间应该花在实施与业务相关的事情上时,我不想走那条路。

我们的安全要求很简单,没有权限,只有角色。我认为没有任何理由浪费我的时间来实施自定义解决方案。

是否有任何文章或案例研究有人可以指出我可以用作不滚动自己的安全性的理由?

4

3 回答 3

1

您始终可以通过从内置类派生来实现“自己的”解决方案。这样,所有配置都将指向您的自定义代码,但它只包含来自标准的派生,而不是所有内容。

于 2013-05-22T19:51:11.117 回答
0

正如已经指出的那样,“滚动你自己”的安全性不仅不明智,而且鲁莽。列举即使是很小百分比的安全失败也是不可能的,但如果你需要弹药,请指出这些书中大量的“经验教训”。(顺便说一下,这些都是优秀的网络安全书籍)。这些书中充斥着大量的黑客攻击,这些黑客攻击是由于安全实施者的小疏忽造成的。为什么要重复历史?

  1. 纠结的网络
  2. Web 应用程序黑客手册
  3. Web 应用程序防御者的食谱
于 2013-05-22T20:30:51.640 回答
0

坚持默认是风险最低的,而且在 99% 的情况下都是最合适的。为了完整起见(这里是龙!),故事的其余部分:

ASP.NET 表单身份验证被认为已损坏(2012-02-22)

Microsoft 不希望您看到的 ASP.NET Forms 身份验证替代品(2012-08-13)

  • “表单身份验证 cookie 有效负载格式会随着 .NET 更新而频繁更改,这会给应用程序维护者带来问题”
  • “拥有多种替代身份验证解决方案意味着在其中一个中发现的弱点不会让攻击者破坏 Web 上的所有 ASP.NET 站点”
  • “表单身份验证融入 .NET Framework 的方式也带来了一些挑战”

这对我来说是一件大事:

  • “标准表单身份验证往往会使粗心的开发人员因应用程序设计不佳而感到痛苦”
于 2013-05-22T21:09:11.037 回答