如何防止密码和其他敏感信息出现在ASP.NET转储中?
如何防止在IIS / ASP.NET转储文件中向ASP.NET网页提交和接收的密码和其他敏感数据?
重现的步骤 >使用Visual Studio 2010,创建一个ASP.NET MVC 3 Intranet应用程序。 请注意,您是否使用HTTPS无关紧要,因为它只加密通信。 ASP.NET将数据存储在内存或磁盘中。 问题 常见的智慧有它加密敏感数据,而不是存储在明确。但是,员工可能会收到IIS / ASP.NET应用程序的转储,并发现用户的密码和其他机密数据,因为此信息既未加密,也未被ASP.NET使用的内存在使用后清除。 这使他们面临风险,只是因为他们有权使用它。转储有时与合作伙伴(如Microsoft)共享,以帮助他们诊断他们的代码中的问题。它是诊断一些应用中真正复杂问题的必要部分。 我看的东西 >对密码和其他敏感数据使用SecureString。但是,ASP.NET成员资格提供程序以及其他框架(如WCF)通常接受密码为System.String,这意味着这些副本仍然在转储中。 我所希望的是告诉IIS / ASP.NET一个特定的请求/响应包含敏感数据和IIS / ASP.NET将清除内存时,使用它。 解决方法
根据定义的转储文件转储应用程序在转储时使用的所有内存,如果您要创建一个过滤器,以便排除某些事情,那么您可能永远不能确定您有足够的数据来解决问题。
你愿意将数据库/配置设置交给第三方吗?如果不是那么你可能不应该交出dumpfiles。 (恕我直言) (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- 跨域学习笔记1--跨域调用webapi
- asp.net-mvc – 在MVC ASP.NET中使用/显示RSS源的简单方法
- asp.net-mvc-3 – ASP.Net MVC 3 – 编辑器模板的客户端不显
- asp.net-mvc – 为什么必须将LESS文件设置为Build Action“
- asp.net-mvc-2 – 我的MVC2应用程序可以在查询字符串参数上
- reactjs – TypeError:无法读取undefined的属性’ts’
- asp.net-mvc – 如何清除使用MVC HTML帮助程序定义的文本框
- asp.net – TinyMCE在我第一次保存时不会返回任何值
- asp.net-mvc – 汇编绑定重定向不工作
- 基于asp.net下使用jquery实现ajax的解决方法
- asp.net – 远程连接到WebDev.WebServer.exe
- asp.net-mvc – ASP.NET MVC – 从另一个项目引用
- asp.net – Mocking HttpContext不起作用
- asp.net-mvc – 在控制器外部生成路由,类似于Url
- asp.net – 使用webservices开发DotNetNuke模块
- asp.net – 使用Razor有点像回到经典的asp
- asp.net – 删除事件后GridView没有刷新
- dependency-injection – Ninject:构造函数参数
- asp.net-mvc – ASP.NET Web API比ASP.NET MVC有
- asp.net – 从ListView ItemDataBound事件处理程