asp.net - route - Cómo hacer que un sitio web esté protegido con https
net core asp route id (7)
¿Qué debo hacer para preparar mi sitio web para https. (¿Debo modificar el código / Config)
Debe tener en mente las mejores prácticas para la codificación segura (aquí hay una buena introducción: http://www.owasp.org/index.php/Secure_Coding_Principles ), de lo contrario, todo lo que necesita es un certificado SSL correctamente configurado.
Es SSL y https uno y el mismo ..
Casi, sí.
¿Debo aplicar con alguien para obtener una licencia o algo así?
Puede comprar un certificado SSL de una autoridad de certificación o utilizar un certificado autofirmado. Los que puede comprar varían enormemente en precio: de $ 10 a cientos de dólares al año. Necesitaría uno de esos si configura una tienda en línea, por ejemplo. Los certificados autofirmados son una opción viable para una aplicación interna. También puede usar uno de esos para el desarrollo. Aquí hay un buen tutorial sobre cómo configurar un certificado autofirmado para IIS: Habilitar SSL en IIS 7.0 utilizando certificados autofirmados
¿Debo proteger todas mis páginas o solo la página de inicio de sesión?
Use HTTPS para todo, no solo para el inicio de sesión del usuario. No va a ser una sobrecarga y significará que los datos que los usuarios envían / reciben de su aplicación remotamente alojada no pueden ser leídos por terceros si se interceptan. Incluso Gmail ahora activa HTTPS de forma predeterminada.
Tengo que crear una pequeña aplicación web para que una empresa pueda mantener sus datos comerciales ... Solo aquellos dentro de la empresa la usarán, pero estamos planeando alojarla en dominio público, para que los empleados puedan conectarse a la aplicación desde varios lugares. . (Hasta ahora he creado aplicaciones web alojadas internamente únicamente)
Me pregunto si necesito usar una conexión segura (https) o solo la autenticación de formularios es suficiente.
Si dices https, tengo algunas preguntas:
- ¿Qué debo hacer para preparar mi sitio web para https. (¿Debo modificar el código / Config)
- Es SSL y https uno y el mismo ...
- ¿Debo aplicar con alguien para obtener una licencia o algo así?
- ¿Debo hacer todas mis páginas seguras o solo la página de inicio de sesión ...
Estaba buscando una respuesta en Internet, pero no pude obtener todos estos puntos ... Cualquier documento técnico u otras referencias también serían útiles ...
No dude en preguntar en caso de que necesite más información.
Gracias
- Raja
¿Qué tipo de datos comerciales ? Secretos comerciales o simplemente cosas que no quieren que la gente vea, pero si salieran, ¿no sería un gran problema? Si hablamos de secretos comerciales, información financiera, información del cliente y cosas que generalmente son confidenciales. Entonces ni siquiera vayas por esa ruta.
Me pregunto si necesito usar una conexión segura (https) o solo la autenticación de formularios es suficiente.
Use una conexión segura todo el camino.
¿Debo modificar el código / Config
Sí. Bueno, puede ser que no. Es posible que desee que un experto haga esto por usted.
Es SSL y https uno y el mismo ...
Mayormente sí. La gente generalmente se refiere a esas cosas como la misma cosa.
¿Debo aplicar con alguien para obtener una licencia o algo así?
Es probable que desee que su certificado esté firmado por una autoridad de certificación. Le costará a usted o a su cliente un poco de dinero.
¿Debo hacer todas mis páginas seguras o solo la página de inicio de sesión ...
Use https en todo momento. El rendimiento no suele ser un problema si el sitio está destinado a usuarios internos.
Estaba buscando una respuesta en Internet, pero no pude obtener todos estos puntos ... Cualquier documento técnico u otras referencias también serían útiles ...
Comience aquí por algunos consejos: http://www.owasp.org/index.php/Category:OWASP_Guide_Project
Tenga en cuenta que SSL es una pieza minúscula para hacer que su sitio web sea seguro una vez que se puede acceder desde Internet. No evita la mayoría del tipo de piratería.
4. ¿Debo hacer todas mis páginas seguras o solo la página de inicio de sesión ...
Simplemente mantenga la página de inicio de sesión debajo de https
esto asegurará que no haya gastos generales al navegar por otras páginas. la condición es que debe proporcionar la configuración de autenticación correcta en la configuración web. Esto es para garantizar que los usuarios que no están conectados no puedan buscar páginas que necesiten autenticación.
@balalakshmi mencionó la configuración de autenticación correcta. La autenticación es solo la mitad del problema, la otra mitad es la autorización.
Si usa Autenticación de formularios y controles estándar como <asp:Login> , deberá hacer algunas cosas para asegurarse de que solo sus usuarios autenticados puedan acceder a las páginas seguras.
En web.config , en la sección <system.web> deberá deshabilitar el acceso anónimo de manera predeterminada:
<authorization>
<deny users="?" />
</authorization>
Todas las páginas a las que se accederá de forma anónima (como la página de Login.aspx en sí) deberán tener una anulación que permita el acceso anónimo. Esto requiere un elemento <location> y debe estar ubicado en el nivel <configuration> ( fuera de la sección <system.web> ), así:
<!-- Anonymous files -->
<location path="Login.aspx">
<system.web>
<authorization>
<allow users="*" />
</authorization>
</system.web>
</location>
Tenga en cuenta que también deberá permitir el acceso anónimo a cualquier hoja de estilo o scripts que utilicen las páginas anónimas:
<!-- Anonymous folders -->
<location path="styles">
<system.web>
<authorization>
<allow users="*" />
</authorization>
</system.web>
</location>
Tenga en cuenta que el atributo de path la ubicación es relativo a la carpeta web.config y no puede tener un ~/ prefijo, a diferencia de la mayoría de los demás atributos de configuración de tipo de ruta.
Creo que te confundes con tu sitio Autenticación y SSL.
Si necesita instalar su sitio en SSL, entonces deberá instalar un certificado SSL en su servidor web. Puede comprar un certificado para usted desde uno de los lugares como Symantec, etc. El certificado contendrá su par de claves pública / privada, junto con otras cosas.
No necesitará hacer nada en su código fuente, y aún puede continuar utilizando su autenticación de formulario (o cualquier otro) en su sitio. Es solo eso, cualquier comunicación de datos que tenga lugar entre el servidor web y el cliente será encriptada y firmada usando su certificado. La gente usaría HTTP seguro (https: //) para acceder a su sitio.
Ver esto para más información -> http://en.wikipedia.org/wiki/Transport_Layer_Security
Intente hacer un directorio de inicio en PHP, como en
<?PHP
$ip = $_SERVER[''REMOTE_ADDR''];
$privacy = [''BOOTSTRAP_CONFIG''];
$shell = [''BOOTSTRAP_OUTPUT''];
enter code here
if $ip == $privacy {
function $privacy int $ip = "https://";
} endif {
echo $shell
}
?>
Eso es principalmente eso!
Para los datos comerciales, si los datos son privados, utilizaría una conexión segura, de lo contrario, la autenticación de formularios es suficiente.
Si decide utilizar una conexión segura, tenga en cuenta que no tengo experiencia en la protección de sitios web, solo estoy retractando lo que encontré durante mi experiencia personal. Si me equivoco de todos modos, siéntete libre de corregirme.
¿Qué debo hacer para preparar mi sitio web para https. (¿Debo modificar el código / Config)
Para habilitar SSL (Secure Sockets Layer) para su sitio web, debe configurar un certificado, código o configuración no modificada.
He habilitado SSL para un servidor web interno, usando OpenSSL y ActivePerl desde este tutorial en línea . Si esto se usa para un público más amplio (mi audiencia era de menos de 10 personas) y es de dominio público, sugiero buscar alternativas profesionales.
Es SSL y https uno y el mismo ...
No exactamente, ¡pero van de la mano! SSL garantiza que los datos se cifran y descifran mientras visita el sitio web. https es el URI que se necesita para acceder al sitio web seguro. Cuando intente acceder a http://secure.mydomain.com , verá un mensaje de error.
¿Debo aplicar con alguien para obtener una licencia o algo así?
No necesitaría obtener una licencia, sino un certificado. Puede buscar en empresas que ofrecen servicios profesionales con sitios web seguros, como VeriSign como ejemplo.
¿Debo hacer todas mis páginas seguras o solo la página de inicio de sesión ...
Una vez que su certificado esté habilitado para mydomain.com todas las páginas *.mydomain.com en *.mydomain.com estarán protegidas.