Bảo mật ASP.NET

Bảo mật ASP.NET.Bảo mật vốn là chủ đề cực kỳ phức tạp và bảo mật trong ASP.NET cũng không phải ngoại lệ. Các lập trình viên .NET chắc hẳn cũng đã quen thuộc với những khó khăn gặp phải khi tìm kiếm tài liệu tiếng Việt trong lĩnh vực này. Hôm nay, Quản Trị Mạng xin giới thiệu nôi dung chương 9, chương về Bảo mật ASP.NET trong cuốn “ASP.NET in a Nutshell” của hai tác giả Andrew Duthie và Matthew MacDonald, nhà xuất bản O’Reilly. Trong chương này, chúng ta sẽ đề cập đến một số phương thức giúp...
Nội dung trích xuất từ tài liệu:
Bảo mật ASP.NETBảo mật ASP.NETBảo mật vốn là chủ đề cực kỳ phức tạp và bảo mật trong ASP.NET cũngkhông phải ngoại lệ. Các lập trình viên .NET chắc hẳn cũng đã quenthuộc với những khó khăn gặp phải khi tìm kiếm tài liệu tiếng Việt tronglĩnh vực này. Hôm nay, Quản Trị Mạng xin giới thiệu nôi dung chương 9,chương về Bảo mật ASP.NET trong cuốn “ASP.NET in a Nutshell” củahai tác giả Andrew Duthie và Matthew MacDonald, nhà xuất bảnO’Reilly.Trong chương này, chúng ta sẽ đề cập đến một số phương thức giúp đảm bảoan toàn cho các ứng dụng ASP.NET. Để nhấn mạnh vào nội dung trọng tâmcủa chương, chúng ta sẽ không bàn về bảo mật mạng, bảo mật máy chủ vàbảo mật cơ sở hạ tầng ASP.NET. Nói như thế không có nghĩa là các chủ đềđó không quan trọng. Ngược lại, nếu không cấu hình hỗ trợ bảo mật phù hợpcho máy chủ và cơ sở hạ tầng mạng, những gì cố gắng thực hiện để đảm bảoan toàn cho ứng dụng ASP.NET thông qua các công cụ .NET Frameworkcung cấp sẽ trở nên vô ích. Tuy nhiên, nằm trong phạm vi giới hạn của mộtchương nên chúng ta chỉ đi sâu vào vấn đề bảo mật các chương trình ứngdụng ASP.NET.Sự quan trọng của bảo mật không lời nào nói hết. Nếu không đầu tư thời giancũng như tài nguyên thích đáng cho nhiệm vụ này có thể dẫn tới những kếtquả không mong muốn như thất thoát dữ liệu, sai hỏng trong thực thi ứngdụng hoặc ứng dụng bị chiếm quyền điều khiển và giảm doanh thu lợi nhuậncủa doanh nghiệp, làm cho doanh nghiệp bị mất uy tín với khách hàng. Xemxét vấn đề bảo mật ngay từ khi bắt đầu xây dựng ứng dụng cũng là điều hếtsức quan trọng.Đảm bảo an toàn trong truy cập ứng dụng hay truy cập tài nguyên thuộc ứngdụng tập trung vào hai quá trình: thẩm định (authentication) và cấp phép(authorization). Chúng ta sẽ quan tâm tới ba phương thức thẩm định mà bộthực thi ASP.NET cung cấp: Windows, Form và Passport. Còn với cấp phép,chúng ta sẽ thảo luận chủ yếu về hai cơ chế: sử dụng đường dẫn URL và sửdụng danh sách điều khiển truy cập ACL.9.1. Các phương thức thẩm địnhThẩm định (authentication) là quá trình nhận dạng người hay chương trìnhđưa ra yêu cầu. Nó không gán quyền truy cập tài nguyên (là chức năng của cơchế cấp phép) mà kiểm tra định danh đã biết để đưa ra quyết định xem liệu cóchấp nhận yêu cầu này hay không. Nói một cách đơn giản, thẩm định trả lờicho câu hỏi: “Bạn là ai?”.Trong ứng dụng ASP cổ điển, có hai phương thức thẩm định chính: một làdựa trên IIS để thẩm định người dùng theo tài khoản Windows, sau đó sửdụng các danh sách điều khiển truy cập (ACL) NT để hoàn tất quá trình thẩmđịnh; hai là đưa ra kiểu thẩm định riêng, so sánh để khớp với thông tin thẩmđịnh người dùng lưu trữ trên máy chủ (có thể nằm trong Microsoft ActiveDirectory). Mỗi phương thức đều có những điểm hạn chế riêng. Mô hình antoàn nhất của thẩm định Windows, Intergrated Security, đòi hỏi tất cả ngườidùng phải sử dụng Internet Explorer và không làm việc với quá nhiều proxyserver. Còn phương thức thẩm định riêng đòi hỏi phải tự xây dựng và kiểmtra một lượng lớn công việc.ASP.NET cung cấp ba cơ chế thẩm định:Thẩm định WindowsCung cấp tính năng tương tự như thẩm định IIS trong ASP cổ điển, tuy nhiêncũng có một số điểm khác nhau quan trọng. Thẩm định Windows làm việccùng với thẩm định tích hợp sẵn trong IIS và dùng định danh do thẩm địnhIIS cung cấp để thực hiện quá trình thẩm định.Thẩm định FormsChủ yếu được dùng cho cơ chế thẩm định riêng. Thẩm định Form hỗ trợtrang đăng nhập chung, cung cấp nhiều tuỳ chọn về lưu trữ thông tin thẩmđịnh, từ cơ sở dữ liệu với định dạng XML, file cấu hình và một số phươngthức trợ giúp để quản lý các hoạt động thẩm định. Cơ chế thẩm định này hầuhết được dùng cho các trường hợp liên quan đến Internet.Thẩm định PassportCho phép các nhà phát triển ASP.NET sử dụng kỹ thuật tiên tiến trong giảipháp đăng nhập đơn Passport của Microsoft.Cơ chế thẩm định ASP.NET thường được cấu hình ở mức máy, dùng filemachine.config hoặc mức ứng dụng, dùng file web.config. Chúng ta có thểcấu hình các thiết lập thẩm định sử dụng phần tử cùng vớicác thuộc tính và phần tử con của nó.Các thiết lập thẩm định không được phép cấu hình bên dưới mức ứng dụng.Tức là nếu muốn áp dụng quy chế thẩm định cho thư một mục con của mộtứng dụng, chúng ta cần phải cấu hình nó như một ứng dụng trong IIS. Cácthiết lập cấp phép (authorization) không gặp phải hạn chế này.9.1.1. Thẩm định WindowsNhư đã đề cập tới ở trên, thẩm định Windows có chức năng giống như thẩmđịnh IIS trong ASP cổ điển. Thẩm định IIS sử dụng thông tin tài khoản ngườidùng lưu trữ trên server cục bộ hoặc Domain Controller và đưa nhân dạngngười dùng vào bộ thực thi ASP.NET để dùng cho quá trình thẩm định. Lýdo chính để chọn thẩm định Windows là bởi nó cần lượng mã triển khai thấpnhất. Trong ba cơ chế thẩm định ASP.NET cung cấp, chỉ có thẩm địnhWindows đòi hỏi phải cấu hình IIS cho các thiết lập thẩm định trong filema ...