ASP.NET State Server безопасность

Question

Верно ли, что при использовании State Server трафик между моим веб-сайтом и сервером состояний не шифруется? Если это не так, как я могу защитить его (SSL)?

Answer 1

Сервер состояния сеанса ASP.NET использует http-запросы с открытым текстом в режиме покоя для связи. Фактическая спецификация протокола общедоступна по адресу [MS-ASP]: Спецификация протокола сервера состояний ASP.NET .

Я никогда не слышал о том, чтобы кто-то шифровал трафик состояний, не могу найти никаких ссылок на него и ничего, что бы указывало на то, что это вообще возможно.

Answer 2

Никто из нас не может сказать, зашифрован ли трафик между вашим веб-сайтом и сервером состояний.

На высоком уровне сервер состояний использует чистый текст для передачи данных.Но это не обязательно означает, что он не зашифрован.

Однако, в зависимости от настроек вашей сети, она может быть зашифрована операционной системой на более низком уровне.А именно, если машины являются частью домена, сетевой администратор мог бы включить надлежащие настройки для принудительного шифрования Kerberos между машинами.

Кроме того, если вы зашифруете данные до помещения их в «сеанс», тоочевидно, он будет зашифрован.

Если вы беспокоитесь о внутренних угрозах, то ваша сеть должна быть настроена на шифрование всего трафика между компьютерами.(если вы хотите узнать как, перейдите на serverfault.com).

Answer 3

Сервер состояний должен находиться за брандмауэром, а не публично, поэтому не должно быть причин для шифрования трафика. Вы хотели бы только убедиться, что трафик может переходить на веб-уровень и обратно на сервер состояний только через многоуровневую сеть.