5

我正在使用标准的 .NET 会员提供程序,并认为我会看看是否有人可以对此有所了解。

调用 ValidateUser 返回 true 或 false。现在,由于该方法接受用户名和密码,因此可以推断返回结果将反映无效的用户名或密码。然而,如果我们进一步深入研究,我们会发现它也在检查 IsLockedOut 和 IsApproved。

public override bool ValidateUser (string username, string password)
{
    MembershipUser user = GetUser (username, false);
    /* if the user is locked out, return false immediately */
    if (user.IsLockedOut)
        return false;
    /* if the user is not yet approved, return false */
    if (!user.IsApproved)
        return false;
    ......

在我的应用程序中,我想将 IsApproved 用于我自己的方式。简单地滚动我自己的提供者是行不通的,因为我仍然受限于 bool 结果。创建用户为我们提供了我们需要的所有信息,那么为什么不 ValidateUser 呢?我错过了什么吗?

4

1 回答 1

9

我希望您看到的是一个安全决定——通过限制返回的信息,他们不会向恶意方提供信息。

想象一下,你是 Cyril Cracker,试图闯入一个网站。

场景#1:您尝试输入用户名“Admin”和密码“Password”,系统告诉您不可以。您拥有的唯一信息是管理员/密码不是有效的组合。

场景#2:您尝试输入用户名“Admin”和密码“Password”,系统告诉您没有知道该名称的用户。您可以继续尝试不同的用户名,直到找到一个已知用户名。

场景#3:您尝试输入用户名“Admin”和密码“Password”,系统告诉您没有密码无效。突然,您知道“管理员”是一个有效用户。你学到了一些有用的东西,你需要不断猜测的只是密码。

场景#4:您尝试输入用户名“Admin”和密码“Password”,系统告诉您该帐户已被阻止。现在,您知道有效的用户名和密码,并且该帐户已被阻止。您可以稍后再回来再试一次。

将 bean 溢出到有效和无效的系统被称为聊天系统,它们被认为不安全是有充分理由的,因为它们更容易破解。

希望这会有所帮助。

于 2009-02-13T04:05:11.457 回答