Este é um post disponível para assinantes MVPEste post também está disponível para assinantes da Easy .net magazine
ou para quem possui Créditos DevMedia. Clique aqui para saber mais!
ou para quem possui Créditos DevMedia. Clique aqui para saber mais!
Boas Práticas no ASP.NET - Revista easy .net Magazine 23
O artigo trata de como melhorar as aplicações Web quanto ao aspecto de segurança, utilizando recursos do framework .NET para a criação de sistemas que poderão ser utilizados sem sustos pelos usuários e, também, tornando a aplicação mais segura.
Easy .net magazine 23
[Artigo disponível no Leitor Digital DevMedia. Clique aqui para acessá-lo]
> Clique aqui para ler todos os artigos da Easy .net magazine 23
[Artigo disponível no Leitor Digital DevMedia. Clique aqui para acessá-lo]
> Clique aqui para ler todos os artigos da Easy .net magazine 23
As aplicações Web estão em evidência e que cada vez mais estarão presentes, não só em aplicações aparentemente sem importância, como redes sociais e outros tipos de aplicativos para relacionamentos on-line, como também em softwares corporativos. Os bancos são os maiores consumidores deste tipo de projetos e estão entre os tipos de empresa que mais investem em pesquisas para segurança de suas aplicações.
Com este cenário, os profissionais envolvidos com aplicações para esta plataforma precisam estar atentos às demandas nas áreas de segurança, garantindo que os dados sejam mantidos longe de acessos indevidos e visualizados apenas pelas pessoas que tenham autorização. Devem assegurar que quando alguém abrir o aplicativo em seu browser tenha uma experiência agradável com o software e consiga fazer o trabalho em um tempo razoável, ainda que a infraestrutura de comunicação de dados no Brasil muitas vezes seja precária. Além disso, se a aplicação tiver boa aceitação, certamente precisará passar por manutenções, quer seja para corrigir problemas encontrados ou então, para passar por evoluções e ter novas funcionalidades agregadas no conjunto.
Entendendo exclusivamente o ponto de vista do desenvolvedor e de quem está começando a dar os primeiros passos no trabalho com projetos Web, apesar de parecer ser uma tarefa complexa (na verdade é muito complexa), é possível que em pouco tempo o profissional tenha à sua mão, um conjunto de práticas e conceitos que permitam trabalhar, sempre procurando entregar o melhor resultado nas três áreas citadas anteriormente. O caminho a ser percorrido é longo e o que é apresentado neste artigo trata-se de medidas iniciais que devem ser expandidas ao longo do tempo. Como consequência, o profissional deve sempre estar atualizando-se. Existe um vasto conteúdo para ser pesquisado, principalmente junto aos fornecedores das tecnologias usadas e também nas comunidades de desenvolvedores.
O primeiro e mais importante passo a ser dado, é agir de forma a garantir a segurança dos projetos, que é o que começaremos a ver a partir de agora.
Segurança
Uma aplicação segura precisa garantir alguns pontos, dentre os quais:
1. Somente os usuários devidamente autorizados devem poder acessar os dados.
2. Cada usuário deve ter acesso apenas aos dados que lhe são permitidos.
3. A aplicação deve prever situações de ataque, que tem por objetivo expor dados.
4. A aplicação precisa bloquear a utilização indevida da interface do software.
Para o desenvolvimento de aplicações Web seguras, a Microsoft propõe uma ilustração que pode ser conferia na Figura 1 e que mostra as diversas partes envolvidas no funcionamento destas aplicações.
Iniciando com a interface dos usuários, ao lado do Browser, devem-se providenciar meios de garantir que o usuário que esteja navegando, seja devidamente autenticado e identificado para que suas ações possam ser rastreadas e a partir desta identificação, o servidor possa montar o conjunto adequado de permissões que o mesmo possui e, desta forma, disponibilizar somente o que for necessário. Esta autenticação é garantida através do controle de sessão do usuário, da forma como a autenticação é feita e com os cookies. O arquivo Web.Config sempre presente nos projetos ASP.NET, possui uma seção toda dedicada a forma como a autenticação do usuário deve ser controlada pela aplicação.
Na Figura 2 está demonstrada a seção de um destes arquivos bem básicos e que lista quais os tipos de autenticação existentes.
Provavelmente o tipo mais básico é usando um formulário ASPX, para que o usuário entre com suas credenciais (normalmente login e senha) para que sejam consultados em um banco. É isso que o modo “Forms” configura, entre outros aspectos.
"
Este é um post disponível para assinantes MVP
Com este cenário, os profissionais envolvidos com aplicações para esta plataforma precisam estar atentos às demandas nas áreas de segurança, garantindo que os dados sejam mantidos longe de acessos indevidos e visualizados apenas pelas pessoas que tenham autorização. Devem assegurar que quando alguém abrir o aplicativo em seu browser tenha uma experiência agradável com o software e consiga fazer o trabalho em um tempo razoável, ainda que a infraestrutura de comunicação de dados no Brasil muitas vezes seja precária. Além disso, se a aplicação tiver boa aceitação, certamente precisará passar por manutenções, quer seja para corrigir problemas encontrados ou então, para passar por evoluções e ter novas funcionalidades agregadas no conjunto.
Entendendo exclusivamente o ponto de vista do desenvolvedor e de quem está começando a dar os primeiros passos no trabalho com projetos Web, apesar de parecer ser uma tarefa complexa (na verdade é muito complexa), é possível que em pouco tempo o profissional tenha à sua mão, um conjunto de práticas e conceitos que permitam trabalhar, sempre procurando entregar o melhor resultado nas três áreas citadas anteriormente. O caminho a ser percorrido é longo e o que é apresentado neste artigo trata-se de medidas iniciais que devem ser expandidas ao longo do tempo. Como consequência, o profissional deve sempre estar atualizando-se. Existe um vasto conteúdo para ser pesquisado, principalmente junto aos fornecedores das tecnologias usadas e também nas comunidades de desenvolvedores.
O primeiro e mais importante passo a ser dado, é agir de forma a garantir a segurança dos projetos, que é o que começaremos a ver a partir de agora.
Segurança
Uma aplicação segura precisa garantir alguns pontos, dentre os quais:
1. Somente os usuários devidamente autorizados devem poder acessar os dados.
2. Cada usuário deve ter acesso apenas aos dados que lhe são permitidos.
3. A aplicação deve prever situações de ataque, que tem por objetivo expor dados.
4. A aplicação precisa bloquear a utilização indevida da interface do software.
Para o desenvolvimento de aplicações Web seguras, a Microsoft propõe uma ilustração que pode ser conferia na Figura 1 e que mostra as diversas partes envolvidas no funcionamento destas aplicações.
Iniciando com a interface dos usuários, ao lado do Browser, devem-se providenciar meios de garantir que o usuário que esteja navegando, seja devidamente autenticado e identificado para que suas ações possam ser rastreadas e a partir desta identificação, o servidor possa montar o conjunto adequado de permissões que o mesmo possui e, desta forma, disponibilizar somente o que for necessário. Esta autenticação é garantida através do controle de sessão do usuário, da forma como a autenticação é feita e com os cookies. O arquivo Web.Config sempre presente nos projetos ASP.NET, possui uma seção toda dedicada a forma como a autenticação do usuário deve ser controlada pela aplicação.
Na Figura 2 está demonstrada a seção de um destes arquivos bem básicos e que lista quais os tipos de autenticação existentes.
Provavelmente o tipo mais básico é usando um formulário ASPX, para que o usuário entre com suas credenciais (normalmente login e senha) para que sejam consultados em um banco. É isso que o modo “Forms” configura, entre outros aspectos.
"
A exibição deste artigo foi interrompida.
Este é um post disponível para assinantes MVPEste post também está disponível para assinantes da Easy .net magazine
ou para quem possui Créditos DevMedia. Clique aqui para saber mais!
ou para quem possui Créditos DevMedia. Clique aqui para saber mais!
Vladimir Rech
Formado em Tecnologia em desenvolvimento de software pela UTF/PR. Desenvolvedor de software. Palestrante.
O que você achou deste post?
Cursos relacionados
Publicidade
