Сделайте приложение ASP.NET MVC действительно безопасным

Question

Я создаю веб-приложение ASP.NET MVC 3, которое используется для поиска конфиденциальных данных в домашних условиях. Данные хранятся в базе данных на сервере, на котором работает IIS-сервер. Так как я закончил большинство частей реального программирования, я хочу сделать приложение максимально безопасным. Я уже использую https, но, думаю, этого будет недостаточно. То, что я ищу, это что-то вроде ... отправки запрашиваемых данных в зашифрованном виде и расшифровки их на клиенте локально, или что-то в этом роде.

Кто-нибудь, идеи?

Answer 1

Лучший ресурс, который я нашел о веб-безопасности с ASP.NET, - это следующий текст, написанный Трой Хант:

OWASP TOP 10 для разработчиков .NET

Абсолютно бесценно!

Он даже сделал из него книгу, которую можно скачать в формате pdf:

книга

Answer 2

Я ищу что-то вроде ... отправки запрашиваемых данных зашифрованы по проводам и расшифрованы на клиенте локально, или что-то в этом роде.

Это именно то, для чего предназначен SSL.

Answer 3

Возможно, вы захотите прочитать о XSS (межсайтовый скриптинг) и SQL Injection.SSL достаточно безопасен для транспортировки ваших данных, поэтому он не сможет быть прочитан при перехвате, но это не значит, что ваш сайт не может быть взломануязвимы для XSS?

Что такое SQL-инъекция?

Answer 4

Если сам по себе SSL недостаточно хорош, как насчет просмотра сертификатов клиентов?