私は、フォーム認証を使用するASP.Net Webアプリケーションを開発している開発者です。 私は、SSLを使用してアクセス許可に従ってWebページを保護する環境で、私はいつも働いてきました。 私の新しい会社では、マネージャーが私にSSLが必要かどうか尋ねました。 私たちはアプリケーション用にプライベートネットワークを使用しており、頑丈なハッカーを予期していません。 権限は、許可されていないユーザーからWebページを保護するのに便利です。フォーム認証にSSLが必要ですか?
これに取り組む最も良い方法は何ですか?
セキュリティのニーズによって異なります:-)。
盗聴ソフトウェアをインストールせず、盗聴したパスワードや個人データを悪用しないように、ネットワークにアクセスするすべての人(クリーンスタッフや外部請負業者を含む)を信頼する場合は、TLSなしで行うことができます。それ以外の場合は、それが必要です。それはあなたのマネージャーが決定するまでです。
プライベートネットワーク(イントラネットなど、誰もが「信頼できる」)の場合、@sleskeのように何もSSLを使用する必要はありません。
私の質問によると、マネージャーがSSLを使用しない理由は何ですか?コストがかかる場合は、市販のCAを使用するのではなく、独自の(会社)CAを持つことができます。私が働いたほとんどの場所では、サーバー(VeriSignまたは他の一般的に使用されているCAのいずれかによって信頼される可能性があります)にCAをセットアップし、内部Webサーバーに証明書を発行するために使用しました。ドメイン上のすべてのコンピュータは、社内のCAを信頼するように設定されていました。
あなたのページ/コンテンツのSSL /パーミッション保護まで: SSL保護は、ページを保護する「許可」とは別のトピックです。 SSLはクライアント(ブラウザ)とサーバーからのhttpトラフィックを暗号化するだけです。あなたのページを保護することは、あなたが権限を使用しているかどうか、またユーザーが認証されているかどうかをチェックすることです。
今まで私はFAコントロールとデータベースを内蔵しています。それでも使用できますか?それとも、コードを変更する必要がありますか? – arame3333
申し訳ありませんが、私はASP.Netについて十分に知りません。しかし、私はそれが非常に共通の機能であるため、標準FAコントロールがTLSをサポートすることを期待しています。 – sleske