razmik4055
کاربر تازه وارد
- تاریخ عضویت
- 4 ژوئن 2007
- نوشتهها
- 30
- لایکها
- 5
برای امنیت نرم افزار در حوزه وب درنظر گرفتن نکات زیر حائز اهمیت و دربرخی موارد حیاتی می باشد، این نکات بر اساس استاندارد های OWASP بویژه در حوزه XSS بیان شده است : https://www.owasp.org
همیشه از HTTPS استفاده کنید. تنظیم سرویس https در IIS:
برای تنظیم سرویس ssl در IIS، باید certificate ای داشته باشید تا از آن برای encode و decode کردن اطلاعات ردوبدلی در سطح شبکه استفاده شود. ابتدا فرض می کنیم که سایت شما به یک certificate ، assign شده، حال باید تنظیمات آن را انجام دهید، در آپاچی، certificate را از یک فایل source توسط SSLCACertificateFile می خواند ولی در IIS باید certificate را با استفاده از تب Directory Security در Web site یا folder properties بصورت زیر تنظیم کنید:
1. Log on to the Web server computer as an administrator.
2. Click Start, point to Settings, and then click Control Panel.
3. Double-click Administrative Tools, and then double click Internet Services Manager.
4. Select the Web site from the list of different served sites in the left pane.
5. Right-click the Web site, folder, or file for which you want to configure SSL communication, and then click Properties.
6. Click the Directory Security tab.
7. Click Edit.
8. Click Require secure-channel (SSL) if you want the Web site, folder, or file to require SSL communications.
9. Click Require 128-bit encryption to configure 128-bit (instead of 40-bit) encryption support.
10. To allow users to connect without supplying their own certificate, click Ignore client certificates.
Alternatively, to allow a user to supply their own certificate, use Accept client certificates.
11. To configure client mapping, click Enable client certificate mapping, and then click Edit to map client certificates to users.
If you configure this functionality, you can map client certificates to individual users in Active Directory. You can use this functionality to automatically identify a user according to the certificate they supplied when they access the Web site. You can map users to certificates on a one-to-one basis (one certificate identifies one user) or you can map many certificates to one user (a list of certificates is matched against a specific user according to specific rules. The first valid match becomes the mapping).
12. Click OK.
برای اطلاعات بیشتر برای IIS7 می توانید به لینک زیر مراجعه کنید:
http://www.iis.net/learn/manage/configuring-security/how-to-set-up-ssl-on-iis
چند نکته :
1- چگونه می توانم ارتباط امن ssl را در Asp.Net Web API اعمال نماییم ؟
اگر از IIS استفاده می کنید، کار خاصی نباید انجام دهید، تنها در IIS، SSL را تنظیم کنید و نرم افزارتان را برای استفاده از https اجبار کنید، این کار را می توانید به شکل های مختلف مثلا استفاده از ماژول IIS URL Redirect module انجام دهید، اما می توانید این کار را درسطح نرم افزار با یک message handler انجام دهید:
ادامه مطلب را در صورت تمایل اینجا ببینید
همیشه از HTTPS استفاده کنید. تنظیم سرویس https در IIS:
برای تنظیم سرویس ssl در IIS، باید certificate ای داشته باشید تا از آن برای encode و decode کردن اطلاعات ردوبدلی در سطح شبکه استفاده شود. ابتدا فرض می کنیم که سایت شما به یک certificate ، assign شده، حال باید تنظیمات آن را انجام دهید، در آپاچی، certificate را از یک فایل source توسط SSLCACertificateFile می خواند ولی در IIS باید certificate را با استفاده از تب Directory Security در Web site یا folder properties بصورت زیر تنظیم کنید:
1. Log on to the Web server computer as an administrator.
2. Click Start, point to Settings, and then click Control Panel.
3. Double-click Administrative Tools, and then double click Internet Services Manager.
4. Select the Web site from the list of different served sites in the left pane.
5. Right-click the Web site, folder, or file for which you want to configure SSL communication, and then click Properties.
6. Click the Directory Security tab.
7. Click Edit.
8. Click Require secure-channel (SSL) if you want the Web site, folder, or file to require SSL communications.
9. Click Require 128-bit encryption to configure 128-bit (instead of 40-bit) encryption support.
10. To allow users to connect without supplying their own certificate, click Ignore client certificates.
Alternatively, to allow a user to supply their own certificate, use Accept client certificates.
11. To configure client mapping, click Enable client certificate mapping, and then click Edit to map client certificates to users.
If you configure this functionality, you can map client certificates to individual users in Active Directory. You can use this functionality to automatically identify a user according to the certificate they supplied when they access the Web site. You can map users to certificates on a one-to-one basis (one certificate identifies one user) or you can map many certificates to one user (a list of certificates is matched against a specific user according to specific rules. The first valid match becomes the mapping).
12. Click OK.
برای اطلاعات بیشتر برای IIS7 می توانید به لینک زیر مراجعه کنید:
http://www.iis.net/learn/manage/configuring-security/how-to-set-up-ssl-on-iis
چند نکته :
1- چگونه می توانم ارتباط امن ssl را در Asp.Net Web API اعمال نماییم ؟
اگر از IIS استفاده می کنید، کار خاصی نباید انجام دهید، تنها در IIS، SSL را تنظیم کنید و نرم افزارتان را برای استفاده از https اجبار کنید، این کار را می توانید به شکل های مختلف مثلا استفاده از ماژول IIS URL Redirect module انجام دهید، اما می توانید این کار را درسطح نرم افزار با یک message handler انجام دهید:
ادامه مطلب را در صورت تمایل اینجا ببینید