Architecture Net или что такое Microsoft.NET?




Информационный сервер Internet: Internet Information Server (MS)

Хотя в этой главе основное внимание уделено безопасности .NET, но важно кое-что знать и о защите информационного сервера Internet (Internet Information Server, П5). Поскольку информационный сервер Internet (US) используется как Web-службами, так и ASP.NET, то значени-Я параметров информационного сервера Internet (US) могут влиять на безопасность .NET.
В предыдущих главах, где рассказывалось об ASP.NET и Web-службах, для анонимного доступа применялись значения по умолчанию. При анонимном доступе не нужно указывать имя пользователя и пароль, чтобы получить доступ к учетной записи. Такой доступ позволяет работать под учетной записью пользователя, определенной по умолчанию. Анонимный доступ полезен для общедоступных Web-узлов и Web-служб, в которых имеется своя система опознавания путем запроса имени пользователя и пароля или некоторыми другими средствами. В этом случае можно выполнять опознавание с помощью форм ASP.NET. Создайте формы, предназначенные для получения имени пользователя и пароля, а затем сверяйте полученные значения с теми, что находятся в файле конфигурации или в базе данных.
Информационный сервер Internet (US) поддерживает основные схемы опознавания, предусмотренные в протоколе передачи гипертекстовых файлов (HTTP). Впрочем, для этого он должен быть соответствующим образом настроен. Схемы опознавания перечислены в табл. 13.1. В каждом из этих сценариев информационный сервер Internet (US) проверяет, соответствуют ли имеющейся учетной записи те данные, которые представил пользователь. Каждый раз, когда нужно зашифровать канал HTTP-связи, применяется протокол защищенных сокетов (Secure Sockets Layer, SSL). Использование протокола защищенных сокетов SSL приводит к ухудшению производительности. О протоколе защищенных сокетов SSL в данной главе не рассказывается.
Кроме того, вам еще придется делать авторизацию, то есть настраивать доступ этих учетных записей пользователей к необходимым файлам (графике, файлам с хранящимися данными и т.д.) и другим ресурсам (например, базам данных). Что же касается общедоступных Web-узлов и Web-служб, то здесь такой подход бесполезен, потому что у пользователей не будет учетных записей.
Компания Microsoft предложила схему опознавания, которая называется Passport (Паспорт). И хотя в серверной части системы ASP.NET эта схема поддерживается с помощью класса System::Web::Security::Passportldentity,но в момент написания этих слов еще не было инструментов разработки, способных работать с клиентской частью схемы Passport (Паспорт). Эта схема позволяет избежать трудностей, связанных с указанием конкретных учетных записей или конкретных машин. О схеме Passport (Паспорт) в данной главе не рассказывается.

Таблица 13.1. Схемы опознавания

Схема Вид опознавания
Базовая (basic) В действительности пользовательская информация и пароль передаются как простой текст. Это стандартная схема опознавания, предусмотренная в протоколе передачи гипертекстовых файлов (HTTP); безопасной она не является
Базовая поверх протокола защищенных сокетов SSL (basic over SSL) Хотя опознавание является базовым, но канал связи закодирован, так что имя пользователя и пароль защищены
Профильная (Смешанная) (digest) Использует безопасное хэширование для передачи имени пользователя и пароля. Это не совсем безопасный метод, потому что хэш-коды хранятся на сервере и являются обратимыми3. Была введена в протоколе передачи гипертекстовых файлов HTTP 1.1 в качестве базового опознавания
Интегрированная защита Windows (Windows Integrated Security) В традиционной системе безопасности Windows используются протоколы NTLM и Kerberos (Цербер). Информационный сервер Internet (US) выполняет опознавание, если мандат совпадает с учетной записью пользователя. Нельзя использовать в модулях доступа (proxies) и брандмауэрах. NTLM — это унаследованный Windows протокол безопасности
Сертификаты поверх протокола защищенных сокетов SSL {certificates over SSL) Клиент получает сертификат, который соответствует учетной записи пользователя

Безопасная спецификация для SOAP разрабатывается W3C. С помощью сообщений SOAP вы можете создавать свою собственную систему опознавания. Так как XML-код передается в виде текста, то необходимо использовать протокол защищенных сокетов SSL для шифрования сообщений (особенно при использовании таких, например, дескрипторов, как <user> (пользователь) и <password> (пароль)). В общем, при применении SOAP данные, используемые системой защиты, надо шифровать.