Различия использования SSL вместо ключа проверки в приложениях Asp.net MVC

Для каждого приложения Asp.net MVC мы используем статический или динамический ключ для проверки пользовательских запросов/ответов, например, в файле web.config, мы можем использовать это из-за статической проверки:

<machineKey validationKey="AC7308C5274D969E665AC7BED7A863582B571D97D9ED03B314952BD3DD159CDFC164E2341D44BDE8F0284FA924052817B3D7429433AABC3F53A118BB7B3F9ABB" decryptionKey="1EDB4490EC0074F7FF3099D450D5E92F1D39F577F9799D14033D1B27DB0F7A93B" validation="SHA1" decryption="AES" />

С другой стороны, у нас есть инструмент под названием SSL (Secure Socket Layer) для повышения безопасности веб-приложений. SSL также имеет механизм неотказуемости.

Имея это в виду, мой вопрос:

Какие различия существуют между ними? И какие виды работ связаны с ними? Каждый из них защитит какую часть приложения? Другими словами: можем ли мы быть уверены в нашем приложении, используя MVC ValidationKey вместо SSL?

Концепция, которая сбивает меня с толку, заключается в следующем: У них есть и шифрование, и дешифрование.


ssl security asp.net-mvc web-config machinekey
person Amirhossein Mehrvarzi    schedule 25.08.2013    source источник

Ответы (1)


arrow_upward
4
arrow_downward

Ответ очень высокого уровня заключается в том, что они защищают разные вещи. Они дополняют друг друга; безопасные приложения ASP.NET используют их оба одновременно.

SSL используется для защиты клиента и сервера от ненадежных третьих лиц. Он обеспечивает аутентификацию: клиент знает идентификатор сервера, с которым он разговаривает. Это также обеспечивает защиту целостности: клиент знает, что страница, которую он получает, на самом деле пришла с сервера, а не от злоумышленника. И это обеспечивает конфиденциальность: никто не может прочитать номер кредитной карты, который клиент отправляет на сервер при оформлении заказа.

С другой стороны, элемент ‹machineKey› защищает сервер от вредоносного клиента. Учтите, что ваш сервер отправляет мне файл cookie для входа в систему с надписью «levi». Что, если я изменю содержимое файла cookie, чтобы вместо этого читать «амир»? Криптографические службы ‹machineKey› позволяют серверу проверять, что, когда такая информация, как файлы cookie и поля формы (например, __VIEWSTATE), передается в оба конца от сервера к клиенту › серверу, клиент не подделал полезную нагрузку во вредоносной программе. мода.

person Levi    schedule 28.08.2013