Παιδιά καλημέρα.

Πρόσφατα ανέλαβα να υλοποιήσω την εφαρμογή μιας εταιρίας. Το project θα υλοποιηθεί σε VB.NET/ASP.NET 2005 και MS SQL Server Express. H εφαρμογή δεν θα είναι σε Intranet αλλά θα έχει αυστηρώς διαδικτυακό χαρακτήρα (περιβάλλον Internet).

Τα δεδομένα που θα διακινούνται θα περιέχουν και κάποια "ευαίσθητα" στοιχεία άρα χρειάζεται και μια καλή πολιτική ασφαλείας. Η αλήθεια είναι πως έχω αγχωθεί πάρα πολύ με τον συγκεκριμένο τομέα και φοβάμαι μήπως τα θαλασσώσω (...είναι η πρώτη μου δουλειά σε αυτό το επίπεδο οπότε όπως καταλαβαίνεται, μιας και τα έχετε περάσει σίγουρα, αν κάτι πάει στραβά θα είναι τουλάχιστον απογοητευτικό...).

Anyway το έχω ρίξει στη μελέτη και πήρα κάποιες αποφάσεις.

Η αρχική σελίδα της εφαρμογής θα είναι μια login screen. Εκεί ο χρήστης θα δίνει ένα username και ένα password. Αν τα στοιχεία του είναι σωστά θα καλείται μια συνάρτηση που θα τσεκάρει έναν πίνακα στη βάση ο οποίος θα κρατάει το ρόλο του (για να αποφασίζεται κάθε φορά τι μπορεί να κάνει και τι όχι). Τα στοιχεία αυτά θα τα αποθηκεύω σε κάποιες session μεταβλητές ούτως ώστε να τα έχω διαθέσιμα σε οποιαδήποτε σελίδα. Εδώ είναι όλο το "ζουμί".

Σκοπεύω να χρησιμοποιήσω Foms Authentication. Θα δημιουργείται ένα cookie αμέσως μετά το επιτυχές login. Αυτό (νομίζω) ότι θα με προστατέψει από το να πληκτρολογεί ο χρήστης κάποια URL και να βλέπει οποιαδήποτε σελίδα της εφαρμογής, παρακάμπτοντας την login screen.

Όσον αφορά το session σκέφτομαι να χρησιμοποιήσω το mode "InProc" και να το ορίσω ως cookieless.

Πως σας φαίνονται τα παραπάνω ως αποφάσεις; Είναι κάτι που έχω κάνει λάθος ή έχω αμελήσει;

Όπως προανέφερα είναι η πρώτη μου εφαρμογή σε αυτό το επίπεδο και το θέμα της ασφάλειας με έχει αγχώσει αρκετά (...μιας και ο πελάτης - και με το δίκιο του - επιμένει πολύ στο συγκεκριμένο τομέα).

Οι απόψεις σας θα είναι ιδιαίτερα χρήσιμες.
Ευχαριστώ.

Εφ' όσον χρησιμοποιήσεις το Forms Authentication, δε θα χρειαστεί να κρατήσεις τίποτα στο session. Το Forms Authentication & το Security namespece γενικότερα σου δίνουν το GenericPrincipal, μια κλάση η οποία  είναι φτιαγμένη για να κρατάει τα στοιχεία του τρέχοντος χρήστη με ένα integrated τρόπο.

Στο ASP.NET 2.0, τα πράγματα είναι ακόμη πιο "modular"/"καθαρά", και υπάρχει μια πληθώρα απο νέα controls σχετικά με security.
Μια καλή αρχή για να καταλάβεις το "big picture" υπάρχει εδώ.

Ένα απλό how-to που χρησιμοποιεί Sql Server για να αποθηκεύσει users & σχετικά data, είναι εδώ.

Κι άλλο ένα πιο απλό ακόμα starter's tutorial θα βρείς εδώ.

Ε, και με τα σχετικά links που θα βρείς σε αυτά, θα μπορέσεις, αν θες, να κάνεις οποιουσδήποτε "παπάδες" και "κωλοτούμπες" σχετικά με authentication / authorization στο ASP.NET App. σου.

Happy coding !

---

Angel
O:]

Εφ όσον μιλάς για ευαίσηθητα δεδομένα, θα πρέπει να τους τονίσεις και την αναγκαιότητα για τη χρήση SSL, καθώς οποιοσδήποτε μπορεί να παρεμβάλει ένα sniffer κάπου στην πορεία των στοιχείων, μπορεί να διαβάσει τα unencrypted δεδομένα. Επομένως η αγορά ενός certificate ή η χρήση ενός self-signed είναι μάλλον απαραίτητη. Επίσης καλό θα ήτανε να απαιτείται και client certificate, ώστε να περιορίσεις ακόμη περισσότερο την περίπτωση κλοπής στοιχείων ή τη μη σωστή χρήση από μηχανήματα που δεν είναι ασφαλή. (πχ από Ιντερνετ καφέ όπου κάποιος πάτησε να αποθηκευτούνε τα credentials στο μηχάνημα).

Γενικά πρόσεχε και διάβασε πολύ γιατί μπορεί εύκολα να βρεθείς εκτεθημένος.

---

Simple Photography

Επίσης, ενδεχομένως θα πρέπει να αποθηκεύονται κρυπτογραφημένα μέσα στη βάση.

---

Vir prudens non contra ventum mingit

Παιδιά σας ευχαριστώ όλους για τις απαντήσεις σας!

Διάβασα αυτές τις μέρες αρκετά πραγματάκια για το security namespace και είδα ότι πραγματικά κλάσεις όπως η Membership προσφέρουν απίστευτες προγραμματιστικές δυνατότητες στον τομέα της ασφάλειας.

Θέλει μελέτη βέβαια το ζήτημα αλλά τουλάχιστον βρήκα από που μπορώ να κάνω την αρχή.