سلام
من میخواستم پیشنهاد بحث درمورد Security در dotnet رو بدم

برای شروع هم فکر کنم اگه با httpModule شروع کنیم بد نباشه . یا اگه پیشنهاد دیگه ای دارید لطفا بگید.

خیلی خوبه.
استاد نصیری هم قبلا کار کردند اگر ...

security بحث گسترده و جذابیه توی NET.
من هم موافقم .
نظر بنده
1- مواردی که قراره راجع بهش بحث بشه اینجا لیست بشه(برای اینکه بحث به بیراهه نره)
2 -جناب hpx زود به زود به سایت سر بزنن. :)

من هم موافقم :تشویق:
البته بهتره هم Security در برنامه های Web Based و هم در برنامه های Windows based بررسی بشه. :wink:

سلام
مواردی که به نظر م می رسه ایناست
Authentication
Authorization
profile management
role management
caching
موارد دیگه ای که اینجا گفته نشده لطفا اضافه کنید

دیگه اینکه هر کسی هر چیزی در این ضمینه می دونه یا document ی داره یا .... لطفا بگه.

Password Policies The ASP.NET
Configuring IIS for Security

اگر موافق باشید بحث راجع به Security قسمت WEB رو مطرح کنیم
اگر به یه جاهایی رسیدیم می ریم سراغ XML Security , Web Services Security , Windows Security و ...

موفق باشید. :mrgreen: :mrgreen: :mrgreen:

به این میگن پارازیت. :mrgreen:

بحث خیلی خوب و به جائی است. منتظر شروع بحث هستیم. من به نوبه خودم اگر در طی بحث اگر کاری از دستم بر بیاد خوشحال می شم انجام بدم. :flower: :تشویق:

یک سوال؟
در مورد این مسایلی که ذکر شد که راجع به اوونها بحث بشه میخواهید از همون ابتدا در سطح متوسط و پیشرفته بحث کنم و به بررسی نکات ریز و مهم این مباحث بپردازیم یا اینکه ابتدا مسایل کلی و مبتدی رو در این مباحث رو ذکر کنیم و بعد از اینکه تمام مباحث ابتدایی رو گفتیم به موارد جزیی تر و تخصصی تر بپردازیم؟

فکر می کنم یه مقدمه ابتدایی راجع به هر کدوم گفته بشه بد نباشه.

خوب فکر کنم خوبه دیگه شروع کنیم.
به نظر من برای ایجاد امنیت توی یک سایت یکی از مهمترین مسایل کنترل دسترسی کاربر به قسمتهای مختلف سایت است.
وقتی یک کاربر وارد یک سایت میشه ابتدا باید تعیین هویت بشه. در اغلب سایتها کاربران به صورت ناشناس وارد سایت میشوند. یعنی وقتی کاربر وارد یک سایت میشود ASP.NET با استفاده از Impersonation یک اکانت ناشناس به کاربر اختصاص میدهد که به صورت پیش فرض این اکانت IUSER_machinename هست و از طریق Computer Management میتونیم به این اکانت برای تنظیم اوون دسترسی داشته باشیم.
اگر اطلاعات شخصی و یا مهمی در سایت وجود نداشته باشه ما میتونیم به کاربر اجازه بدیم که به همین صورت ناشناس در سایت کار کند. اما برای سایتهایی که محتوی اطلاعات محرمانه و یا شخصی است که همه نباید به آن دسترسی پیدا کنند بهتر است که به وضوح کاربران تعیین هویت شوند.
در بحث تعیین هویت کاربران با دو اصطلاح روبرو هستیم:Authentication و Authorization.
Authenticaion به پروسه ی تعیین هویت یک کاربر اطلاق میشود و Authorization به پروسه ی تضمین دسترسی کاربر بر اساس مجوزهایی که دارد اطلاق میشود.

برای تعیین هویت کامل یک کاربر برای دسترسی به بخش های مختلف یک سایت به چندین نحو میتوان هویت وی را تعیین کرد.
روش اول استفاده از سیستم تعیین هویت خود ویندوز است. یعنی کاربران با استفاده از اکانتهای تعریف شده برای آنها در ویندوز وارد سایت شده و بر اساس مجوزهای تعریف شده برای اکانت در سایت کار کند.
این روش بیشتر در سازمانها و ادارات ویا شرکتها کاربرد دارد که دارای یک سیستم تحت شبکه هستند و کاربران آن محدود و مشخص هستند که توسط مدیر سیستم تعیین میشوند. :wise1:
منتظر ادامه اش هستم... :wink:
:موفق:

سلام
یک مکانیزم دیگری که می‌تونه برای Authentication و Authorization وجود داشته باشه اینه که از Data base برای این منظور استفاده بشه. به این صورت یک Entity برای تعریف user و Profile اون در نظر گرفته بشه Entity دیگری برای Role ها و Entity برای Rule در نظر گرفته بشود.
حالا وقتی user ، login می‌کند یه token براش در نظر گرفته بشه یا از identity اش برای ردیابی‌اش استفاده بشه.

آقایونی که این بحث رو مطرح کردند چرا ادامه نمیدید؟؟؟؟؟؟؟؟؟؟

یه مثال ساده برای security در وب

سلام
دو مطلب: اول اینکه این مقاله رو که در مورد مکانیزم های امنیتی در NET Framework. است رو بخونید:
http://www.shabakeh-mag.com/Articles/Show.aspx?n=1001400
در همین لینک view source صفحه غیر فعال شده و از طرفی وقتی صفحه رو save میکنی یک صفحه خالی ذخیره میشه .
چطور میشه این کار رو انجام داد؟؟

یاهو هم همین کار رو میکنه.

پس چی شد؟
بابا ادامه بدین ما هم تشویق بشیم

سلام
برای اینکه راست کلیک غیر فعال بشه می تونید فایل ضمیمه رو بکارببرید