Ecco la cosa per la sicurezza - non si può semplicemente "farlo" per passare poi. Cosa voglio dire con questo è che è un processo continuo e pensare che hai solo bisogno di implementare solo alcuni standard di codifica sicure o eseguire la scansione del sito web una volta prima di andare a vivere lascia un grande grande buco nel vostro processo.
Per esempio, l'altro giorno ho scritto su come l'insicurezza è facile in cui ho parlato di come Black and Decker erano esposti i registri ELMAH. Questo è il più piccolo di errori di configurazione che può facilmente accadere in qualsiasi momento, ma voleva dire che si è conclusa con le credenziali da una parte significativa della loro base di clienti accessibile al pubblico - ahi! Ok, questo ha coinvolto anche la memorizzazione delle password semplici testi in cookie al fine di facilitare la funzione "ricordati di me" (no, davvero), ma il punto è a quanto sia stato facile per fare un semplice cambiamento che soffiava un buco enorme nel fianco il loro profilo di sicurezza.
Questo mi porta al punto del post: errori di configurazione della sicurezza avviene ed è necessario iniziare la ricerca di esso botto dopo aver pubblicato il sito. Esposto ELMAH log è una cosa ma errata configurazione semplici modifiche di protezione si può rovinare il rilascio di un sito Web ASP.NET vanno ben al di là di quello; errori personalizzati, il rintracciamento, la convalida richiesta e il modo in cui i cookie sono configurati per citarne solo alcuni. Ognuno di questi può essere configurato in modo da lasciare un sito vulnerabile letteralmente in pochi secondi.
Per l'ultimo paio di anni ho fornito un servizio per rilevare questi problemi in un luogo vivo - ASafaWeb .La proposta di valore di ASafaWeb è sempre stata che su richiesta, è possibile eseguire la scansione del sito web in diretta ASP.NET e sarà riferire su questi errori di configurazione. Ora sono molto felice di condividere come ASafaWeb è stato integrato nel OnCheckin (da un'idea di Doug Rathbone ) per fornire la distribuzione continua di siti web ASP.NET come servizio basato su cloud.
