我必须为一家公司构建一个小型网络应用程序来维护他们的业务数据......只有公司内部的人才会使用它,但我们计划将其托管在公共(public)领域,以便员工可以连接到应用程序来自不同的位置。 (到目前为止,我已经构建了仅在内部托管的网络应用程序)
我想知道我是否需要使用安全连接 (https) 或仅使用表单例份验证就足够了。
如果你说 https,我有一些问题:
- 我应该如何为 https 准备我的网站。 (我需要更改代码/配置吗)
- SSL 和 https 是一回事吗...
- 我是否需要向某人申请以获得某些许可证或其他东西。
- 我需要保护所有页面还是只保护登录页面...
我正在互联网上搜索答案,但我无法获得所有这些要点...任何白皮书或其他引用资料也会有所帮助...
如果您需要更多信息,请随时询问。
谢谢
- 拉贾
最佳答案
What should I do to prepare my website for https. (Do I need to alter the code / Config)
您应该牢记安全编码的最佳实践(这里有一个很好的介绍:http://www.owasp.org/index.php/Secure_Coding_Principles),否则您只需要正确设置 SSL 证书。
Is SSL and https one and the same..
差不多,是的。
Do I need to apply with someone to get some license or something.
您可以从证书颁发机构购买 SSL 证书或使用自签名证书。您可以购买的产品价格相差很大——从每年 10 美元到数百美元不等。例如,如果您开设在线商店,您将需要其中之一。自签名证书是内部应用程序的可行选择。您也可以使用其中之一进行开发。这是一个关于如何为 IIS 设置自签名证书的好教程:Enabling SSL on IIS 7.0 Using Self-Signed Certificates
Do I need to make all my pages secured or only the login page..
一切都使用 HTTPS,而不仅仅是初始用户登录。这不会有太大的开销,这意味着如果用户从远程托管应用程序发送/接收的数据被拦截,则外部各方无法读取这些数据。甚至 Gmail 现在都默认启用 HTTPS。
关于asp.net - 如何使用 https 保护网站,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2205325/