ASP.NET的淺顯易學,讓許多初學者靠著翻書自修就打造起自己的網站王國。可是,有些書上沒教的事,卻可能讓你的網站變成駭客的後院,在ASP.NET防駭指南裡,我們就來看看這些常被忽視的網頁安全漏洞。
文章下載
** 本文發表於RUN!PC雜誌155期 **
真是大作,看來先必須手腳綁起來一陣子了!
請問黑大,文中有提及打造一個加解密的共用元件,其中「通關密語」(MyKey)是 hard code 在程式裡?還是只是為了示範?
再者,又該如何防堵 通關密語被取得?
to 金水,該範例是用來驗證加密後再解密可還原原內容,屬示範用途。實務上要保護通關密語(金鑰)有幾種做法:
1) 保存在別處(例如Registry),即使文件及程式外流,若對方無權限存取Registry取得金鑰,加密仍具保護效果。若文件要寄給對方解密,記得金鑰不要寫在同一封信裡,可以透過電話或是其他方式傳遞。
2) 將金鑰存入config,使用ASP.NET內建的RSA加密功能加密保護。(參考: blog2.darkthread.net/post-2010-08-29-web-config-connstr-encryptor-v09-cht.aspx)
3) 自訂保密機制保護金鑰。
一個醉心技術又酷愛分享的Coding魔人,十年的IT職場生涯,寫過系統、管過專案, 也帶過團隊,最後還是無怨無悔地選擇了技術鑽研這條路,近年來則以做一個"有為的中年人"自許。
