Что такое риск, если я использую aspnet_membership

Question

У меня есть некоторые сомнения по поводу aspnet_membership. Моя команда базы данных моей компании не разрешила мне использовать aspnet_membership. Потому что эта функция использует некоторые хранимые процедуры для установки чего-то, что нарушает политику моей компании. Они сказали, что эта функция может создать некоторый риск, но я не знаю, какой риск я получу, если воспользуюсь им.

У кого-нибудь есть идеи или причины по этому поводу?

Answer 1

Ваша «команда баз данных» явно параноик. Какого рода угрозы безопасности они ожидают, если инструмент aspnet_regsql.exe создаст базу данных? Я понимаю, что многим администраторам неудобно пользоваться волшебниками, потому что они хотят точно знать, что происходит за кулисами. В этом случае инструмент командной строки обеспечивает высокую степень настраиваемости и должен быть предпочтительным по сравнению с режимом мастера.

Возможно, вы и ваша команда базы данных должны читать на опубликованной реализации инструмента, а не упрямый, о которых вы невежественны. Если вы по-прежнему считаете « создание базы данных служб приложений для SQL Server » излишним, вполне возможно создать свои собственные MembershipProviders и PersonalizationProviders и включить их в свою собственную структуру базы данных.

Answer 2

Я знаю, что это старый вопрос, но (как и большинство хороших вопросов) заставил меня задуматься.

Я вижу перспективу вашей команды базы данных в определенных сценариях:

1. Вы подчиняетесь правилам соблюдения, которые требуют полного разделения обязанностей и тщательной пошаговой документации каждого изменения, внесенного в окружающую среду. Это означает, что вы не можете просто запустить любую утилиту (независимо от того, насколько хорошо она документирована или протестирована) самостоятельно; Вы должны передать его другой команде для одобрения, и эта команда должна (в теории) понять каждое потенциальное воздействие.

2. Возможно, существует очень гранулированный объект в соответствии с политикой безопасности объектов, и ваша группа баз данных считает, что автоматически созданные структуры таблиц могут нарушить это.

3. Не является брешей в безопасности, но в зависимости от действующих стандартов именования таблицы / процедуры, созданные инструментом, могут нарушать эти соглашения.

4. Возможно, вы работаете в сфере финансов или здравоохранения, и существует определенный набор требований безопасности, которые должны быть выполнены. Ваша команда разработчиков баз данных считает, что база данных о членстве не будет соответствовать этим требованиям.

Я работал со многими компаниями, которые придерживаются драконовских политик безопасности, которые часто приводят к значительному увеличению времени. И наоборот, последствия несоблюдения этой политики могут иметь такие ужасные последствия (многомиллионные штрафы здесь, в США), что обычно побеждает осторожность / паранойя.

В итоге: если схема аутентификации / авторизации ASP.Net хорошо подходит, то потратьте время на то, чтобы обучить команду базы данных ее внутренним элементам, чтобы им было удобно с ней работать. Выслушать их возражения; Администраторы баз данных могут чрезмерно защищать свои среды, но они часто отвечают за ключевые активы компании.

Как отметил @Cerebrus, существует много разных способов использования безопасности ASP.Net. Попробуйте использовать части, которые имеют смысл. Если ваша команда баз данных все еще не «поняла» (или выдвинула обоснованные возражения), существует множество других способов реализации надежной защиты в ASP.Net, они просто требуют больше усилий.