我们正在为我们的应用程序实施安全性。项目负责人已经决定他希望我们担任自己的角色,但作为首席开发人员,当我的时间用于实施与业务相关的事情时,我不想走这条路。
我们的安全要求非常简单,没有权限,只有角色。我认为没有理由浪费时间来实施自定义解决方案。
是否有人可以指出我可以使用哪些文章或案例研究作为不自行安全的理由?
答案 0 :(得分:1)
您可以随时实施自己的'通过从内置类派生的解决方案。这样,所有配置都将指向您的自定义代码,但它只包含标准的派生,而不是所有内容。
答案 1 :(得分:0)
正如已经指出的那样,“滚动你自己的”安全不仅是不明智的,而且是鲁莽的。即使是微不足道的安全百分比也会因为滚动你自己而无法实现,但如果你需要弹药,请指出这些书中的大量“经验教训”。 (顺便提一下,这些是优秀的网络安全书籍)。这些书是 teeming ,由于安全实施者的小规模疏忽导致了大量的黑客攻击。为什么重复历史?
答案 2 :(得分:0)
坚持默认值是风险最低,99%的时间最适合。为了完整起见(这里是龙!),故事的其余部分:
ASP.NET Forms Authentication Considered Broken(2012-02-22)
The ASP.NET Forms Authentication replacement Microsoft doesn't want you to see(2012-08-13)
这对我来说很重要: