Hallo zusammen, welche Tipps, Anleitungen, Bücher etc. gibt es mit denen man eine ASP.net Anwendung (.net 4.0, IIS7) sicherer machen kann? Ein paar Dinge kenne ich natürlich, z.b. Web.config verschlüsseln, aber natürlich nicht alles. Ich habe gerade mal per Google gesucht. Leider finde ich (auch bei Daumseinschränkung auf letztes Jahr) viele Einträge die sehr alt sind und ich nicht weiss in wie weit die überhaupt noch gelten. Ich stolpere z.B. über HTTP Security and ASP.NET Web Services aus dem Jahre 2002 oder Chapter 12 Building Secure Web Services aus den Jahren 2003-2006 wo selbst Microsoft schon schreibt das der Inhalt veraltet ist. Hat jemand ein paar gute und aktuelle Links zu den Themen Sicherheit bei ASP.net, Webservices, Authentifizierung, Sessions etc.? Vielen Dank!!
War ich wohl eine Woche zu früh: Heute das Topthema im MSDN Flash 7/2011: Mehr Sicherheit für Ihre Anwendungen :-) "In der Artikelreihe "How to write secure code?" auf MSDN Online erhalten Sie viel nützliche Hinweise zur Erstellung von sicherem Code" Alle Infos gibt es hier: http://msdn.microsoft.com/de-de/security/default
Tja, ich würde bei der entsprechende Seite im ASP.NET-Wiki starten (http://wiki.asp.net/page.aspx/27/security/). Da sind schon einmal einige Links zu weiterführenden Infos zu finden.
Scheint auch keiner so recht zu pflegen... Einige verlinkte Seiten gibts nicht mehr, und der erste Artikel ist schon ein paar Jahre alt .... "This guide presents a practical, scenario-driven approach to designing and building secure ASP.NET applications for Windows 2000 and .NET Framework version 1.0." :-( Trotzdem interessante Seite, werde ich mal durchstöbern, danke!
Links hab ich keine aber ein paar grundlegende Gedanken:
1. HTTPS statt HTTP für die Auslieferung der Webseite verwenden sowie für die AJAX-Requests und die Webservice-Requests die du ggf. innerhalb deiner ASP.Net-Anwendung mit dem BackEnd bentutzt
2. Diese Webservice-Requests sollte man zusätzlich noch mittels Basic-Authentication sichern
3. Ordentliche Rechteprüfung in die einzelnen ASP.Net-Seiten einbauen so das die Untersteiten auch nur wirklich die Leute erreichen die die entsprechenden Rechte haben
4. SQL-Inection unterbinden in dem du Datenbank-Parameter über ADO.Net "bindest"
5. Das Verzeichnis in dem die ASP.Net-Quellcode-Dateien liegen kannst du mit speziellen Benutzerrechten versehen (eigener User für die ASP.Net-Instanz oder wenn du Windows-Authentication verwendest eine spezielle Benutzergruppe). Hier sollte in den meißten Verzeichnissen nur Lese-Rechte gesetzt sein
6. Eigener AppPool für die ASP.Net-Instanz damit andere Resscourcenintensive ASP.Net-Instanzen deine nicht stören
7. Wenn du deinen ASP.Net-Quellcode mittels Codebehind und nicht mittels Codefile einbindest kannst du die compilierten DDLs mit entsprechenden Tools ebenfalls verschnlüsseln lassen. Das compilieren erhöht zudem die Ausführungsgeschwindigkeit ein wenig
"In der Artikelreihe "How to write secure code?" auf MSDN Online erhalten Sie viel nützliche Hinweise zur Erstellung von sicherem Code" Alle Infos gibt es hier: http://msdn.microsoft.com/de-de/security/default