我是一名开发ASP.Net Web应用程序的开发人员,该应用程序使用表单身份验证。 根据我的经验,我一直在一个环境中工作,我们使用SSL来根据权限保护网页。 在我的新公司,我的经理问我是否需要SSL,我们可以不用它。 我们正在使用专用网络进行应用程序,并且不会预期任何重型黑客。 但是,权限可以保护网页免受未经授权的用户的侵害。
那么解决这个问题的最佳方法是什么?
答案 0 :(得分:1)
这取决于您的安全需求: - )。
如果您相信所有有权访问网络的人(包括清洁人员和外部承包商等人)不安装嗅探软件并使用他们嗅探的密码和个人数据做坏事,那么您可以不使用TLS。否则你需要它。这取决于你的经理决定。
答案 1 :(得分:1)
如果它是一个私人网络(即内联网,每个人都是'信任'),那么就像@sleske提到的那样,你不必为任何事情使用SSL。
这就是说我的问题是经理在不合理的情况下使用SSL的原因是什么?如果它是成本,那么您可以拥有自己的(公司)CA而不是使用商业CA.我工作的大多数地方都在其服务器上设置了一个CA(VeriSign或其他常用的CA之一可能信任或不信任),并且用于向内部Web服务器颁发证书。域上的所有计算机都设置为信任公司的内部CA.
至于您的网页/内容的SSL /权限保护: SSL保护与保护您网页的“权限”不同。 SSL只是加密来自客户端(浏览器)和服务器的http流量。保护您的页面取决于您使用权限并检查用户是否经过身份验证,其机制不会根据(不)使用SSL进行更改。