bezpečnost odesílání asp formuláře

bezpečnost odesílání asp formuláře zodpovězená otázka

2. 11. 2009 10:20

1 24

Jen triviální dotaz, jak moc bezpečné, popřípadě jak zabezpečit odesílání formuláře na server?

když mám

    <form id="form1" runat="server">
        <asp:TextBox ID="jmeno" runat="server"></asp:TextBox>
    <asp:TextBox ID="heslo" runat="server" TextMode="Password"></asp:TextBox>
    <asp:Button ID="Button1" runat="server" Text="Přihlásit" 
        onclick="Button1_Click" />
    </form>

je nějaká možnost že heslo bude odposlechnuto při odeslání na server?

Díky

nahlásit spam

odpovědět

2. 11. 2009 11:28

Tomáš Herceg

1847 3847

Taková možnost tu samozřejmě je.

Standardním a funkčním řešením je použít pro odesílání stránek s citlivými údaji HTTPS. Pokud máte vlastní server, na němž aplikace běží, můžete si koupit nebo vyrobit certifikát (koupený od správné CA zajistí, že se v prohlížeči nebudou zobrazovat ta hlášení o nedůvěryhodnosti certifikátu; vlastní self-signed zase znamená, že si ho můžete vystavit sám a tudíž je zadarmo, na druhou stranu ho ale na klienské počítače musíte nainstalovat).

Pokud máte webhosting, je třeba se domluvit s provozovateli, jestli je použití HTTPS vůbec možné.

nahlásit spam

1 / 1

odpovědět

2. 11. 2009 11:48

Aleš Stárek

1 24

Děkuji za informace.

Ještě pro upřesnění. jedná se použití v intranetu, takže útok nějaké extrahackera ani moc nehrozí, tudíž ještě doplňující otázka, zda komunikace se serverem má alespoň základní zabezpečení, nebo se informace z formuláře posílají jako prostý text? A jestli je ještě nějaký možný způsob zabezpečení krom https a certifikátů?

Logovací formulář by měl ověřovat existenci a zajišťovat verifikaci s active directory, tak jen bych nechtěl aby se tu po intranetu povalovaly hesla uživatelů do domény ;-)

Původně jsem měl ověření s AD pomocí IIS a programu jsem předával pouze přihlášeného uživatele, ale vyskytli se uživatelé, které v doméně nejsou a budu je mít v extra databázi, takže musím přistoupit k variantě ověřování v programu a to už se bojím o hesla.

nahlásit spam

odpovědět

DotNETcollege: Mohlo by vás zajímat

TypeScript

Javascript pro mírně pokročilé

Budoucnost ASP.NET, Razor a MVC pro Web Forms programátory

Vývoj webových aplikací v Angular I

DotVVM pro začátečníky

Vývoj single page aplikací pomocí ASP.NET Web API, Knockout JS a Durandal

Upgrade programátorských dovedností

ASP.NET MVC pro mírně pokročilé

DotVVM pro pokročilé

ASP.NET Core (1/5): Co to je a jak to funguje

2. 11. 2009 11:55

Tomáš Herceg

1847 3847

Data se posílají jako prostý text. Teoreticky je můžete pomocí Javascriptu třeba nějak zašifrovat nebo zahashovat, ale toto řešení bych nedporučoval - není standardní a dá dost práce, přičemž jeho spolehlivost není úplně ideální.

Pokud jde o intranetovou aplikaci, není problém vytvořit SSL certifikát a rozdistibuovat ho přes politiky uživatelům. Ti, co nejsou v doméně, ho mohou dostat třeba na flash disku, aby si ho mohli nainstalovat.

nahlásit spam

odpovědět

otázka připomínka kladné hodnocení záporné hodnocení

Nadpis:

Antispam:

Komu se občas házejí perly?

Příspěvek bude publikován pod identitou anonym.

Administrátoři si vyhrazují právo komentáře upravovat či mazat bez udání důvodu.
Mazány budou zejména komentáře obsahující vulgarity nebo porušující pravidla publikování.

Pokud nejste zaregistrováni, Vaše IP adresa bude zveřejněna. Pokud s tímto nesouhlasíte, příspěvek neodesílejte.

dotNETportal.cz