Segurança no ASP.NET2

Voc� est� protegido?��

Projeto e Distribui��o Seguras de Aplica��es Web com ASP.NET 2.0 e IIS 6.0�

Michael Volodarsky�

Partes deste artigo est�o baseadas em uma vers�o pre-release do ASP.NET 2.0. Este texto est� sujeito a mudan�as.�

________________________________________�

Este artigo discute:

Prote��o de recursos e controle de acesso;
Autentica��o e autoriza��o;
Seguran�a no acesso a c�digo no ASP.NET;
Auditoria de Aplica��es.

Aplica��es Web est�o entre os servi�os de computa��o mais comumente expostos na Internet, e representam um objeto convidativo para qualquer um que queira invadir sua rede e roubar informa��o sens�vel, mexer com seus dados, ou ent�o comprometer o seu sistema. Garantir a seguran�a de uma aplica��o Web � uma tarefa s�ria, e requer cuidados ao longo das fases de projeto, desenvolvimento, distribui��o e opera��o. N�o deveria ser visto como algo que pode ser inserido em uma aplica��o existente, ou simplesmente atingido aplicando caracter�sticas de seguran�a de plataformas existentes.�

Mesmo quando desenvolvemos para uso dentro de uma plataforma relativamente segura, uma aplica��o Web tem que seguir as melhores pr�ticas de seguran�a da plataforma ao longo dos est�gios de projeto, desenvolvimento e distribui��o, para prover o n�vel m�ximo de prote��o contra ataques. Para produzir aplica��es Web seguras, este conhecimento espec�fico da plataforma deveria ser combinado com pr�ticas de projeto seguras, modelagem de an�lise de amea�as e testes de seguran�a contra infiltra��o.�

Este artigo discute as melhores pr�ticas que permitem tirar proveito das caracter�sticas de seguran�a do ASP.NET 2.0 e do IIS 6.0 e construir e distribuir aplica��es Web mais seguras.�

Projetando Aplica��es Web Seguras

Princ�pios de projeto seguros normalmente baseiam-se em alguns princ�pios chave: assumir que qualquer entrada no sistema � maliciosa, reduzir a �rea de contato exposta do sistema, bloquear o sistema por padr�o e usar defesa em profundidade em lugar de confiar em outras partes do sistema para prote��o. Seguindo estes princ�pios gerais a partir da fase de projeto � fundamental ter certeza da melhor prote��o poss�vel para a aplica��o.�

O modelo de an�lise de amea�as � usado para tra�ar o fluxo de dados dentro de um sistema e examinar os poss�veis pontos de entrada para um que usu�rio malicioso possa explorar o acesso ao mesmo. A modelagem de amea�as � um exerc�cio fundamental para mudar a perspectiva do ponto de vista de um projetista para o de um atacante, ajudando-o a descobrir os furos de seguran�a potenciais na aplica��o. Para mais informa��es sobre modelagem de amea�as, veja Modelagem de Amea�as http://msdn.microsoft.com/security/securecode/threatmodeling/.�

Teste de Penetra��o de Seguran�a � outro nome para a invas�o da sua pr�pria aplica��o - tentar invadir a aplica��o diretamente e achar problemas antes que outros o fa�am por voc�. Podemos tentar for�ar a aplica��o at� seus limites enviando dados inv�lidos ou o pior caso de dados poss�vel. Podemos tentar tamb�m �enlouquecer� a aplica��o usando o nosso conhecimento do funcionamento interno da mesma - neste caso, este conhecimento d� uma vantagem injusta sobre atacantes t�picos, mas tamb�m pode revelar vulnerabilidades que est�o profundamente inseridas dentro do c�digo. H� uma variedade de ferramentas dispon�veis que podem ajudar a fazer o teste de penetra��o.�

Protegendo Recursos

Normalmente, a primeira tarefa na distribui��o de uma aplica��o Web consiste em ter certeza de que n�o exp�e recursos sens�veis que podem ser acessados por clientes an�nimos na Internet. Se esta for uma aplica��o intranet, isto � normalmente realizado mediante a certifica��o de que todos os clientes s�o autenticados com autentica��o Windows� (veremos o controle de acesso mais adiante), e que a aplica��o � protegida ao acesso externo por um firewall. Para uma aplica��o Internet, este � um aspecto importante porque quase sempre precisa ter o m�nimo de acessibilidade por usu�rios de Internet an�nimos. Fora esta diferen�a, a seguinte orienta��o �, no entanto, igualmente aplic�vel para proteger recursos em aplica��es Internet e intranet.�

Idealmente, � melhor ter certeza de o namespace Web da aplica��o n�o cont�m qualquer arquivo que n�o pretendemos que seja servido ao cliente. Isto significa a remo��o de todos estes arquivos da estrutura do diret�rio f�sico, come�ando com o mais alto diret�rio designado como uma aplica��o Web ou diret�rio virtual na configura��o IIS. Se o arquivo n�o estiver no namespace Web, n�o deveria ser acess�vel atrav�s de pedidos �quele namespace, a menos o c�digo da aplica��o abra diretamente o arquivo e sirva seus conte�dos. Se a aplica��o acessar os dados programaticamente ou suportar arquivos durante sua execu��o, dever�amos coloc�-los fora do namespace Web.�

Se n�o pudermos remover todos estes arquivos, devemos ter certeza de que o IIS n�o est� configurado para servir estes arquivos a clientes Web. Isto deveria ser realizado mapeando as extens�es aos arquivos protegidos do ASP.NET no processador de configura��o �de mapeamento de script do IIS (veja Figura 1), e mapeando essas extens�es subseq�entemente para o HttpForbiddenHandler na configura��o �ASP.NET <HTTPHANDLERS> da aplica��o ou diret�rio. Por padr�o, o ASP.NET j� bloqueia o acesso a v�rias extens�es comuns de aplica��es Web, incluindo .cs .java .mdb .mdf .vb e outros.�

Figure 1 Mapping XML Files to the ASP.NET ISAPI Extension ��
Figura 1 Mapeamento de Arquivos XML para Extens�es ISAPI ASP.NET

Configurando o Web.config como a seguir, impedimos que a extens�o .xml seja servida, caso a extens�o seja mapeada para o ASP.NET nesta esta aplica��o:��
�� <HTTPHANDLERS>
type="System.Web.HttpForbiddenHandler" />
��
Note que esta configura��o gera uma resposta de erro "403 Forbbiden", com uma mensagem ASP.NET que comprova a exist�ncia deste arquivo. Podemos tamb�m usar o System.Web.HttpNotFoundHandler para mascarar a exist�ncia do arquivo e devolver uma resposta gen�rica 404.��

Se desinstalarmos o ASP.NET, o mapeamento do processador de script IIS ser� removido e as extens�es n�o mapeadas ser�o processadas pelo manipulador de arquivo est�tico do IIS. Freq�entemente imaginamos que removendo uma entrada da extens�o correspondente da configura��o de mapeamento IIS MIME, impedir� que manipulador de arquivo est�tico sirva arquivos com aquela extens�o. Na realidade, isto n�o � sempre verdadeiro, porque o manipulador de arquivo est�tico tamb�m levar� em conta a configura��o de mapeamento do registro MIME e ainda servir� a extens�o se a entrada de registro estiver presente. Por causa disto, ter�amos que ter certeza que ambos a configura��o de Mapeamento do meta-base MIME e a chave de registro HKEY_CLASSES_ROOT, n�o contenham uma entrada de extens�o proibida. Devido � complexidade de administra��o inerente, esta pr�tica n�o � recomendada como uma maneira de garantir conte�do. Se usarmos este m�todo, tamb�m dever�amos ocultar os arquivos para prote��o adicional, pois o manipulador de arquivo est�tico IIS, n�o servir� arquivos que tenham o atributo oculto.

Claro que esta orienta��o relativa ao manipulador de arquivo est�tico IIS, s� se aplica a extens�es que n�o s�o mapeadas para uma extens�o de ISAPI no mapeamento da configura��o do script IIS. Se a extens�o � mapeada, ent�o a extens�o do script de mapeamento ISAPI do IIS correspondente, ser� respons�vel por controlar o acesso a pedidos que tenham aquela extens�o.�

Podemos tamb�m tirar proveito das caracter�sticas de diret�rios protegidos do ASP.NET 2.0. Por padr�o, o ASP.NET 2.0 bloquear� o acesso a todas as URLs que cont�m segmentos de diret�rio chamados App_Data, App_Code, App_Browsers, App_WebReferences, App_GlobalResources e App_LocalResources, em qualquer lugar da URL. O ASP.NET 1.1 e 2.0 tamb�m ir�o bloquear o acesso ao diret�rio /Bin. Este suporte est� condicionado a ter o filtro de registro aspnet_filter.dll do ISAPI com o IIS, o qual � instalado por padr�o durante a instala��o do ASP.NET. Colocando o conte�do nestes diret�rios, podemos impedir o acesso de HTTP independentemente das extens�es do arquivo que s�o pedidas. A Tabela 1 descreve os diret�rios protegidos sob o ASP.NET 2.0. URLs que cont�m outros segmentos App_*, inclusive o diret�rio App_Themes, n�o s�o bloqueados pelo ASP.NET.�

Tabela 1 Caminhos com Acesso Negado Via Requisi��es Diretas de HTTP no ASP.NET 2.0

Diret�rio	Descri��o
/Bin	Contem assemblys gerenciados pela aplica��o. Tamb�m bloqueados no ASP.NET 1.1.
/App_Code	Cont�m c�digo de aplica��o compil�vel.
/App_Data	Cont�m arquivos de dados da aplica��o.
/App_LocalResources	Cont�m recursos do diret�rio local.
/App_GlobalResources	Cont�m recursos de aplica��o globais.
/App_WebReferences	Cont�m refer�ncias Web geradas pelo Visual Web Developer.
/App_Browsers	Cont�m defini��es do navegador.

Controle de acesso

A maioria das aplica��es Web prov�em m�ltiplos n�veis de acesso a dados e recursos, e precisamos garantir que os clientes receber�o o acesso apropriado, baseado nas suas credenciais. O controle de acesso em aplica��es Web, � controlado tipicamente em duas fases: autentica��o e autoriza��o. A autentica��o determina a identidade do cliente que faz o pedido. A autoriza��o determina se aquela identidade cliente, tem permiss�o para acessar um recurso particular. A Figura 2 ilustra as fases de seguran�a relevantes do processamento do pedido em requisi��es HTTP t�picas na plataforma IIS/ASP.NET.�

Figure 3 Processing an HTTP Request ��
Figura 2 Processando um Pedido HTTP

H� v�rios mecanismos �n�o usu�rio� de controle de acesso dispon�veis, que podemos considerar para reduzir a �rea de ataque da aplica��o. Estes mecanismos do IIS 6.0 incluem a lista de restri��o de IP e a lista de restri��es de extens�o Web service.�

A lista de restri��o de IP permite especificar os endere�os de IP dos clientes que ter�o acesso permitido � aplica��o. Podemos configurar IPs espec�ficos e dom�nios, bem como subnets. Considere fazer isto, caso a aplica��o for s� intranet, ou se os clientes sempre acessam a aplica��o em um endere�o de IP ou dom�nio espec�fico. Quando aplic�vel, dever�amos us�-lo como uma medida de defesa em profundidade junto com outros m�todos de controle de acesso.�

A lista de restri��es de extens�o, permite definir globalmente a extens�o ISAPI de arquivos DLL e a de arquivos CGI .exe, que podem ser executados no servidor. Por padr�o, s�o proibidas todas as extens�es desse tipo, e dever�amos habilitar s� aquelas estritamente necess�rias, deixando as outras desabilitadas. A instala��o de produtos de terceiros pode habilitar componentes adicionais, Poder�amos assim, precisar desabilit�-los se n�o estivermos usando-os para servir conte�do Web.�

Vers�es pr�vias do IIS, tamb�m se beneficiam do filtro ISAPI UrlScan, que prov� valida��o de pedidos adicional e bloqueamento de entradas de risco. O IIS 6.0 sofreu reengenharia para prover maior seguran�a em rela��o �s vers�es anteriores, e j� n�o exp�e vulnerabilidades que requeriam a prote��o do UrlScan. Por�m, se as exig�ncias de seguran�a n�o estiverem cobertas pelas caracter�sticas providas por padr�o no IIS 6.0, podemos querer continuar usando o UrlScan. A informa��o dispon�vel em Determinando se Devemos Usar o UrlScan 2.5 com o IIS 6.0 -
http://msdn.microsoft.com/isapi/gomscom.asp?TARGET=/technet/security/tools/urlscan.mspx#EDAA
podem ajudar a decidirmos quanto ao uso ou n�o do UrlScan.�

Autentica��o�

O IIS e o ASP.NET, disponibilizam juntos, os elementos fundamentais para construir mecanismos de controle de acesso, e o ASP.NET 2.0 se expande mais ainda para prover blocos de aplica��o prontos, que podem ser usados para distribuir tais mecanismos rapidamente.�

A sa�da dos mecanismos de autentica��o IIS sempre � uma identidade Windows que representa o usu�rio para quem o pedido est� sendo feito. O IIS prov� suporte embutido aos seguintes tipos de autentica��o:
anonymous, Windows integrated, Basic, Digest, certificate mapping e Microsoft� Passport. A Tabela 2 ilustra quando os diferentes modos de autentica��o s�o tipicamente usados.�

Tabela 2 M�todos de Autentica��o

M�todo de Autentica��o	Tipo de Aplica��o	O Usu�rio deve ter Conta Windows	Coment�rios
Anonymous	Ambos	N�o	Usado com esquemas de autentica��o em n�vel de aplica��o.
Integrated Windows	Intranet	Sim	Uso na Internet � poss�vel mas n�o recomendado.
Basic	Internet ou intranet quando existirem limita��es de confian�a de dom�nio ou de firewall proibindo o uso de autentica��o integrada Windows.	Sim	Senha enviada via texto aberto. Deve usar SSL para impedir a exposi��o da senha.
Digest	Internet	Sim	Requer Active Directory.
Certificate mapping	Internet	Sim	Requer a emiss�o de um certificado de cliente.
Passport	Internet	N�o, mas tem que ter conta de Passaport	Requer afilia��o via Passport.

Aplica��es Intranet usar�o a autentica��o Windows Integrada, tipicamente para autenticar os clientes com suas contas de dom�nio. Alternativamente, podem usar autentica��o de certificado, entretanto certificados s�o mais comuns na �rea da Internet. Aplica��es Internet deveriam usar autentica��o B�sica de SSL ou autentica��o Digest se os usu�rios t�m contas Windows, ou autentica��o an�nima com um esquema de autentica��o espec�fico de aplica��o caso n�o tenham contas Windows.�

Se a autentica��o an�nima n�o � habilitada para uma URL, ent�o o IIS garantir� que o pedido seja autenticado ou rejeitar� o pedido. Isto deveria ser usado como uma medida de defesa em profundidade, para aplica��es que usam outros mecanismos de autentica��o IIS (a maioria das aplica��es intranet), para rejeitar completamente todos os usu�rios n�o autenticados, se nenhum acesso an�nimo for desejado.�

O ASP.NET suporta tr�s tipos de autentica��o: Windows, Forms e Passport. A autentica��o Windows simplesmente aceita a identidade Windows produzida durante a autentica��o IIS. A autentica��o Forms implementa um esquema de camada de autentica��o, baseado em ingresso, a ser usado por aplica��es ASP.NET que n�o associam contas Windows aos usu�rios (a autentica��o Form deveria ser combinada com a op��o autentica��o IIS an�nima). A autentica��o Passport usa o esquema de autentica��o Microsoft Passport. O esquema de autentica��o para cada aplica��o � especificado dentro do elemento de configura��o <SYSTEM.WEB><AUTHENTICATION>, como mostrado aqui:��

Com autentica��o Forms, quando o usu�rio tem acesso negado para um recurso que requer autentica��o, ser� redirecionado para uma URL configurada que aponta para uma p�gina de login. A p�gina de login � uma p�gina ASP.NET, personalizada, escrita pelo desenvolvedor da aplica��o, que prov� um modo do usu�rio fornecer credenciais. A p�gina de login valida ent�o as credenciais em uma �rea de armazenamento do usu�rio personalizada, como por exemplo um banco de dados SQL, e usa a classe System.Web.FormsAuthentication para emitir um ingresso de autentica��o encriptado para o cliente. Este ingresso pode ser um cookie ou um blob especial, que amplia a URL (come�ando com o ASP.NET 1.1 Mobile Toolkit e o ASP.NET 2.0 - Caixa de Ferramentas Mobile ASP.NET 1.1 e ASP.NET 2.0). Em todo pedido subseq�ente, o cliente apresenta este ingresso, e o mecanismo de autentica��o Forms automaticamente o processa para gerar a identidade do usu�rio para o pedido.��

Com autentica��o Forms, a complexidade de emitir e administrar o ingresso de autentica��o � absorvida pelo framework do ASP.NET. Por�m, ainda temos que escrever a chamada ao login e a implementa��o da �rea de armazenamento do usu�rio associada. O ASP.NET 2.0 simplifica o processo completo provendo dois componentes adicionais: o servi�o Membership e o fam�lia de controles de Login.�

O servi�o Membership, exposto pela classe System.Web.Security.Membership, prov� uma abstra��o �til para criar, administrar e validar credenciais de usu�rio. Como muitas outras caracter�sticas ASP.NET 2.0, o provedor baseado em projeto permite que o servi�o trabalhe com compatibilidade retroativa com uma variedade de armazenadores de dados (data stores), inclusive SQL Server� e provedores do Active Directory� que s�o inclu�dos no framework do ASP.NET. Montar a sua pr�pria implementa��o de banco de dados de usu�rio � t�o f�cil quanto a distribui��o do schema de banco de dados Membership para a inst�ncia do SQL Server ou do SQL Server Express via ferramenta aspnet_regsql.exe, e configurando um SqlMembershipProvider - ou apenas usando o provedor padr�o que automaticamente cria o banco de dados Membership SQL Server Express no diret�rio App_Data da aplica��o por ocasi�o do primeiro acesso.�

O servi�o Membership prov� suporte para muitas fun��es de administra��o de usu�rio comum, inclusive hashing de senha, bloqueio de conta e login. Voc� pode descobrir mais sobre o servi�o Membership no ASP.NET 2.0 Quickstart (Usando as APIs Membership e Gerente de Pap�is - http://beta.asp.net/QuickStartv20/aspnet/doc/security/membership.aspx.�

Com o controle Login ASP.NET 2.0, o ponto crucial da cria��o de p�gina login � simplificado mesmo mais adiante provendo um controle arrastar e soltar que implementa automaticamente qualquer funcionalidade de login de p�gina trabalhando com as APIs de autentica��o Membership e forms para validar as credenciais de usu�rio e criar o ingresso de autentica��o em um logon bem sucedido. O controle Login prov� funcionalidade flex�vel, inclusive funcionando com provedores Membership personalizados, executando reinicializa��o de consulta / resposta de senha, e fazendo valida��o credenciais personalizadas. Um conjunto de controles de suporte, inclusive controles LoginView e CreateUser, pode ser usado para suportar o resto da interface de administra��o de usu�rio (veja Usando os Controles de Login - http://beta.asp.net/QuickStartv20/aspnet/doc/security/login.aspx).�

Ao usar autentica��o de aplica��o personalizada com autentica��o forms ou com o seu pr�prio mecanismo de autentica��o, proteja suas chamadas de login e preferivelmente a aplica��o inteira com Secure Socket Layer - SSL para impedir a revela��o de credenciais de login e autentica��o de ingressos (eu cobrirei a seguran�a de autentica��o de ingresso com mais detalhe, mais adiante neste artigo.) Tamb�m, deveria exigir que seus usu�rios usassem senhas robustas. O servi�o Membership prov� a habilidade para configurar express�es regulares para for�ar robustez de senha e formato. Deveria garantir usando hashing de senhas (que � o comportamento padr�o), e n�o deveria armazenar credenciais na se��o <CREDENCIAIS>da autentica��o forms do arquivo de configura��o de aplica��o.�

Autoriza��o�

Depois que uma identidade de usu�rio foi estabelecida para a solicita��o, a identidade � armazenada no contexto do pedido, como um objeto System.Security.Principal.IPrincipal que est� dispon�vel via HttpContext.Current.User. Este objeto pode ser usado para tomar decis�es de controle de acesso para o pedido.�

O ASP.NET prov� dois mecanismos de autoriza��o embutidos que controlam o acesso ao n�vel de URL: autoriza��o de Arquivo e autoriza��o de URL. Ambos executam depois da autentica��o, na fase AuthorizeRequest do ASP.NET, e conferem se a identidade requisitante tem acesso � URL pedida. Se for determinado que a identidade n�o possa ter acesso, o pedido � terminado com uma resposta "401 Unauthorized" .

A autoriza��o de arquivo s� funciona quando a op��o autentica��o Windows for usada (quando o usu�rio principal cont�m uma identidade Windows), e usa a lista de controle de acesso do arquivo (ACLs) para determinar se a identidade requisitante deve ter permiss�o de acesso � URL. Note que a autoriza��o de Arquivo tamb�m s� funciona quando o pedido for mapeado para um arquivo e este est� em uma m�quina local. Se o arquivo f�sico estiver em um compartilhamento, esta autoriza��o n�o tem nenhum efeito e permite o pedido.�

A autoriza��o de arquivo pode ser usada por aplica��es que autenticam usu�rios que t�m contas Windows e que usam ACLs para controlar acesso aos recursos. Tenha certeza de remover o acesso de leitura para qualquer identidade de usu�rio que n�o deveria ter acesso a um determinado arquivo ao usar este tipo de autoriza��o.�

A autoriza��o de URL usa as regras de controle a acesso baseadas em configura��o, que referenciam o nome do usu�rio ou seus pap�is, como um modo para conceder ou negar acesso. Geralmente � o mecanismo de autoriza��o preferido porque n�o depende da identidade usu�rio tenha uma conta Windows. Pode ser usado com qualquer mecanismo de autentica��o que produz um usu�rio principal, e oferece um modo mais f�cil de administrar pol�ticas de acesso do que administrar ACLs em arquivos.�

Regras de autoriza��o de controle de acesso por URL, podem ser especificadas em n�vel de URL, na se��o de configura��o <SYSTEM.WEB><AUTHORIZATION>. O mecanismo de autoriza��o processar� as regras numa ordem cima-para-baixo e selecionar� a primeira regra que casar, adotando a a��o de negar ou permitir especificada pela regra.
��
Alternativamente, tamb�m podemos qualificar as regras com nomes de usu�rio ou pap�is. No ASP.NET 1.1, temos que associar uma lista de pap�is manualmente a um usu�rio principal, depois da autentica��o. No ASP.NET 2.0, podemos usar a classe System.Web.Security.RoleManager para criar e administrar pap�is e estes pap�is ser�o automaticamente associados a um usu�rio depois da autentica��o. Tamb�m podemos usar tags locais para especificar regras de controle de acesso para URLs espec�ficas no mesmo arquivo Web.config.�

A autoriza��o de URL s� deveria ser usada para permitir acesso ao conjunto espec�fico de usu�rios e negar acesso a qualquer outro. Uma boa pr�tica consiste em projetar uma configura��o mais restritiva em n�vel do diret�rio raiz (negue todo mundo ou negue todo an�nimo), com relaxamento espec�fico para URLs individuais ou sub-pastas que t�m menos restri��es de acesso. Dever�amos considerar as exig�ncias de autoriza��o da aplica��o ainda na fase de projeto, e tentar agrupar URLs com restri��es de acesso semelhantes, em diret�rios com um �nico conjunto de regras de autoriza��o, para minimizar a necessidade de configurar muitas regras individuais, e assim reduzir o risco de obt�-las erroneamente.�

Autoriza��o de Aplica��o

A autoriza��o em n�vel de URL � um bom modo de dar seguran�a � aplica��o, e deveria ser usado onde quer que seja poss�vel restringir acesso ao conjunto m�nimo de usu�rios que precisam interagir com o sistema. Por�m, �s vezes a autoriza��o em n�vel de aplica��o � exigida para prover controle mais granular quanto � funcionalidade que est� dispon�vel para seus usu�rios.�

Tipicamente, a autoriza��o de aplica��o � executada inspecionando a autentica��o do usu�rio principal atual, dispon�vel na propriedade HttpContext.Current.User, e tomando uma decis�o para conceder ou negar acesso � funcionalidade espec�fica, baseado ou no nome de usu�rio ou no papel membership principal. Em aplica��es ASP.NET, isto � tipicamente resolvido em duas fases: ocultando regi�es de p�gina e validando programaticamente �o acesso, antes de executar a��es de servidor.�

Ocultar regi�es de p�gina � uma pr�tica comum em aplica��es existentes, e requer a exibi��o seletiva de um conjunto de controles de p�gina via coloca��o destes controles em um painel que � configurado para ser vis�vel ou invis�vel, baseado na identidade usu�rio ou no papel membership. No ASP.NET 2.0, esta tarefa � simplificada pelo controle LoginView, que prov� um modo f�cil de associar modelos aos usu�rios e pap�is (veja http://beta.asp.net/QuickStartv20/aspnet/doc/security/login.aspx - Usando os Controles de Login - �para um exemplo de como usar este controle). Note, por�m, que esta pr�tica s� n�o � o bastante.�

Al�m de ocultar partes de uma p�gina, precisamos for�ar que o controle de acesso nas a��es atuais, seja feito pela aplica��o em resposta �s entradas do usu�rio. Estas a��es geralmente s�o ASP.NET postbacks de p�ginas, que invocam os manipuladores de evento do servidor, ou codificam nos manipuladores de evento de p�gina que agem em uma querystring, dados forms �ou outra entrada de cliente. No ASP.NET 1.1, ocultar um controle n�o impede que um cliente malicioso ative seus manipuladores de evento, portanto esta � uma pr�tica obrigat�ria. No ASP.NET 2.0, os controles System.Web.UI.WebControls e namespaces de System.Web.UI.HtmlControl, impedem atrav�s de eventos de postback padr�o, que sejam ativados se forem ocultos e controles personalizados tamb�m podem fazer o mesmo.�

Para for�ar o controle de acesso, coloque o c�digo em todo manipulador de evento ou m�todo que executa uma a��o cr�tica, para ter certeza de que o usu�rio atual est� autorizado a executar a a��o desejada. Deste modo, mesmo se o cliente conseguir invocar o manipulador de evento diretamente, s� garantir� que seja autorizado aos usu�rios que podem executar a a��o protegida. Podemos fazer isto, verificando o usu�rio principal diretamente ou usando comandos declarativos ou imperativos para o usu�rio principal.�

O c�digo mostrado na Listagem 1 garante que o evento manipulador CreateDatabase, s� permite que o nome de usu�rio Administrador ou todos os usu�rios no papel de Operador completem a chamada. Alternativamente, pode obrigar a autoriza��o de c�digo fazendo demandas para a classe System.Security.Permissions.PrincipalPermission. Esta classe pode ser usada para fazer demandas para um nome de usu�rio e um papel particulares, para o conjunto principal do usu�rio atual na thread. Pode tamb�m ser usado para fazer demandas program�ticas e declarativas para o usu�rio principal. A Listagem 2 mostra dois exemplos de uso da PrincipalPermission, para exigir que o usu�rio seja o Administrador.�

Listagem 1 Controle de acesso para Manipuladores de Evento

void CreateDatabase_Click(Object source, EventArgs e) {

�� System.Security.Principal.IPrincipal user = Context.User;
�� if (user != null && user.Identity != null)
�� {

�� if (user.Identity.Name.Equals("Administrator") || �� user.IsInRole("Operator")) �� { �� CreateDatabase(); �� return;
�� }� �� }

��throw new System.Security.SecurityException( �� "You are not authorized to perform this action!"); }

Listagem 2 Autenticando com PrincipalPermission

[PrincipalPermission(SecurityAction.Demand, �� Name="Administrator", �� Role=null)] void CreateDatabase_Click(Object source, EventArgs e) {
�� ... } void CreateDatabase_Click(Object source, EventArgs e) { �� PrincipalPermission p = new PrincipalPermission( �� "Administrator", null);
�� p.Demand(); �� ...
}

O ASP.NET configurar� o pedido principal atual na thread, depois que todos os manipuladores de evento dos m�dulos de autentica��o e o AuthenticateRequest do global.asax executaram. Isto significa que se quisermos configurar no pedido um principal personalizado depois desta fase, temos que configurar a thread principal manualmente, atribuindo seu objeto principal � propriedade Thread.CurrentPrincipal.�

Acesso de Recursos

Al�m da autentica��o e autoriza��o baseada em usu�rio j� vista, tamb�m � importante considerar como os recursos do Windows (arquivos, registro, objetos, SQL Servers remotos) s�o acessados dentro de uma aplica��o ASP.NET. Dado que a abstra��o do usu�rio do ASP.NET � desacoplada das contas� do Windows, a identidade usada para acessar recursos Windows nem sempre � a identidade do usu�rio autenticado. Na realidade, a identidade acessada depende da identidade Windows personificada pela thread da aplica��o, e pode ser quaisquer das identidades descritas na Tabela 3.�

Tabela 3 Identidades de Thread

Identidade	Descri��o	Configura��o
Process Identity	A identidade do processo em funcionamento que hospeda a aplica��o ASP.NET. Tipicamente, este � um modo do Processo de Isolamento do Network Service do ISS 6.0 (IIS 6.0 Worker Process Isolation mode) O ASP.NET ir�, por padr�o, usar esta identidade para acessar recursos (exceto para UNC).	O pool de identidades de aplica��o do IIS 6.0 no modo WP ou a conta especificada na se��o de� configura��o <SYSTEM.WEB><PROCESSMODEL>do ASP.NET. No tem configura��es impessoais.
Authenticated User Identity	A identidade do usu�rio autenticado. � usada para acessar os recursos do Windows com a identidade cliente em aplica��es Intranet, tal como para auditoria, usu�rios de Intranet, ou para gerenciar o acesso com contas Windows.	Foi usado um m�todo de autentica��o IIS diferente de anonymous. Se for usado anonymous, a identidade �, por padr�o, a conta IUSR_MACHINE ou a conta an�nima configurada. O ASP.NET � configurado para despersonalizar o cliente com <SYSTEM.WEB>.
UNC User Identity	A identidade do usu�rio autenticado ou usu�rio UNC configurado nos diret�rios virtuais localizados num compartilhamento UNC.	Os mapeamentos de URL para um compartilhamento UNC e o IIS, est� configurado para uma conta fixa de autentica��o UNC.
Fixed Application Identity	A identidade especificada na configura��o ASP.NET. � tipicamente usado para acessar recursos a uma conta especial com baixos privil�gios ou para se conectar a recursos de rede com uma conta de dom�nio delegada.	O ASP.NET est� configurado para despersonalizar uma identidade espec�fica com <SYSTEM.WEB>.

Aplica��es Intranet podem escolher personificar o cliente para limitar na aplica��o os direitos de acesso do usu�rio. Por�m, tamb�m aumenta a carga de administrar as permiss�es de recursos (arquivo ACLs e permiss�es do SQL Server, por exemplo) da aplica��o, e introduz redu��o de desempenho devido, entre outras raz�es, ao pooling de conex�o ineficiente ao banco de dados. Limita��es adicionais existem para o acesso a recursos remotos, tal como acessar um SQL Server de banco de dados remoto com autentica��o Integrada, porque a maioria dos esquemas de autentica��o IIS, n�o produzem s�mbolos de autentica��o que possam acessar m�quinas remotas na rede (com exce��o da autentica��o B�sica, ou se configuramos o Windows NT� Lan Manager ou a delega��o do Kerberos).�

Uma op��o, consiste em usar o projeto de subsistema seguro, onde a aplica��o Web acessa recursos internos com uma �nica identidade, e garante que seus usu�rios t�m a permiss�o para acessar estes recursos mediante autoriza��o em n�vel de aplica��o (previamente descrita). Esta � a abordagem padr�o para o ASP.NET, com o modo de processamento de identidade despersonificado. Podemos tamb�m atingir o mesmo resultado com uma identidade de aplica��o fixa, caso em que dever�amos proteger as credenciais por configura��o encriptada.�

Ao usar a abordagem de subsistema seguro, lembre-se das seguintes melhores pr�ticas:��

Execute cedo a autoriza��o (como descrito antes neste artigo) e negue acesso a tudo com exce��o dos usu�rios autorizados;
Rode aplica��o com o menor privil�gio poss�vel. Se o atacante for persistente, pode fazer tanto dano quanto a identidade processo ou identidade aplica��o permitir;
S� conceda o acesso m�nimo necess�rio aos recursos. Com SQL Server, por exemplo, n�o conceda � aplica��o identidade, direitos de Owner� do Banco de dados, s� a concess�o direitos as stored procedures necess�rios para sua funcionalidade, e retenha todos os demais direitos, incluindo SELECTS nas TABELAS.

Seguran�a de Ingresso de cliente

As aplica��es Web ASP.NET geralmente usam a tag cliente para associar o estado de um usu�rio particular. Por exemplo, o mecanismo de autentica��o Form ASP.NET previamente descrito, usa um cookie de cliente codificado, para permitir a um browser de cliente acessar a aplica��o por um per�odo de tempo, sem exigir as credenciais do usu�rio para todo pedido. Outros usu�rios de ingressos de cliente incluem o Role Manager, que usa um cookie para associar um conjunto de pap�is de aplica��o ao cliente, e Session State que usa um cookie para identificar o ID para a sess�o do cliente. Todas estas caracter�sticas tamb�m podem usar ingressos baseados em URL no ASP.NET 2.0, como descreveremos adiante. O c�digo da aplica��o tamb�m pode armazenar estados personalizados no ViewState, em campos de forms e em cookies personalizados.�

Os ingressos, por serem expostos ao cliente, podem ser roubados, podem ser executados de novo, e podem ser alterados por clientes maliciosos, o que pode resultar em v�rias amea�as para a aplica��o. Especificamente, estas amea�as incluem clientes maliciosos que roubam um ingresso de um usu�rio leg�timo, e mascarados como aquele cliente, executam de novo aquele ingresso ou o examinam � procura de informa��o �til sobre a aplica��o. Clientes maliciosos tamb�m poderiam modificar um ingresso personalizado, para fingir ser outro usu�rio ou explorar a aplica��o de um modo espec�fico.�

A seguinte, � uma orienta��o geral que se aplica a todos os ingressos de cliente usados por uma aplica��o, a qual pode ajudar a mitigar ou reduzir o risco de todas estas amea�as. Se o ingresso cont�m informa��o segura da qual n�o quer que o cliente tome conhecimento, encripte o ingresso. Isto � suportado pela autentica��o Forms, pelo Role Manager e pelas caracter�sticas de ViewState. Para a autentica��o Form, configure o atributo de prote��o <SYSTEM.WEB><AUTHENTICATION><FORMS>para All, o qual � o padr�o. Para o role Manager, configure o atributo <SYSTEM.WEB><ROLEMANAGER>cookieProtection para All.�

Para o ViewState, configure o atributo Encripta��oMode para Always (sempre) na diretiva @ Page ou no elemento <SYSTEM.WEB><PAGES>. Por�m, note que esta funcionalidade s� est� dispon�vel no ASP.NET 2.0. No ASP.NET 1.1, a encripta��o pode ser alcan�ada usando a ViewState de valida��o 3DES.�

A encripta��o executada, depende das configura��es dentro do elemento <MACHINEKEY>. Usando encripta��o combatemos a segunda amea�a: usu�rios maliciosos que examinam o ingresso a procura de informa��o �til sobre a aplica��o. A vantagem aqui, � claro, reside no desempenho, devido ao custo extra de runtime introduzido para decifrar o ingresso a cada pedido.�

Ao menos, dever�amos impedir que o ingresso seja modificado ou criado no cliente, habilitando as verifica��es de valida��o do Message Authentication Code (MAC). Esta verifica��o consiste em uma assinatura hash dos conte�dos de ingresso anexada ao mesmo, que permite ao servidor ter certeza de que ningu�m interferiu com o ingresso atrav�s de re-computa��o do hash e o validou com a assinatura.�

Se ativar a encripta��o para as caracter�sticas acima mencionadas, obter� os benef�cios da valida��o MAC automaticamente. Al�m disto, o ViewState prov� a habilidade para injetar um valor un�voco usado durante a valida��o, para ter certeza de que a view state blob foi gerado para o usu�rio atual, o que impede que outros usu�rios possam submeter um form no lugar de outro usu�rio. Isto � realizado programaticamente, configurando a propriedade ViewStateUserKey da p�gina para um valor de usu�rio un�voco, tal como uma ID de sess�o ou o nome de usu�rio autenticado, para todo pedido.�

Todas estas caracter�sticas permitem degradar a prote��o de encripta��o para prote��o de s� valida��o, o que n�o protege os dados de serem descobertos, mas os protegem de serem alterados pelo cliente. Isto combate a terceira amea�a: um usu�rio malicioso que consegue um ingresso personalizado para personificar outro usu�rio.�

Se tivermos dados personalizados que gostar�amos de armazenar de modo a impedir que sejam descobertos ou modificados pelo cliente, temos algumas op��es. Podemos armazen�-los na sess�o, caso em que o estado � armazenado no servidor e o cliente s� obt�m a session ID. Tamb�m podemos armazenar os dados na regi�o userData do ingresso encriptado da autentica��o forms, no ViewState ou em um cookie personalizado com sua pr�pria valida��o MAC e mecanismos de encripta��o, embora isto exigir� que� administremos nossas pr�prias chaves.�

Com valida��o e encripta��o habilitados, n�o combatemos ainda a amea�a de retomada de ingresso, a qual � o resultado de clientes maliciosos que podem roubar um ingresso v�lido e depois apresent�-lo ao servidor mascarando-se como o cliente original para o qual o ingresso foi emitido. Outra varia��o desta amea�a � um cliente malicioso que for�a o cliente leg�timo a usar o ingresso provido pelo usu�rio malicioso. H� duas estrat�gias gerais que podem ajudar a reduzir este risco: impedindo que os ingressos sejam roubados, e impedindo que os ingressos sejam executados novamente.�

Para impedir que os ingressos sejam roubados, em primeiro lugar a aplica��o deveria impedir que o ingresso fosse farejado no caminho de rede do cliente, e tamb�m garantir que o ingresso n�o foi roubado do cliente. O melhor m�todo para proteger o caminho de rede � habilitar o SSL para todo o dom�nio Web, ou pelo menos para o escopo das URLs autenticadas e para a p�gina de login. Se usar o �ltimo m�todo, garanta que o caminho para a autentica��o Form, para o Role Manager ou para ingresso personalizado baseados em cookies, seja atribu�do ao segmento SSL protegido do namespace de URL. A atribui��o do caminho � realizada tanto atrav�s da configura��o do caminho, como atrav�s da atribui��o do cookiePath para a autentica��o Form e Role Manager, nas respectivas se��es de configura��o, ou programaticamente, configurando o atributo Path no objeto System.Web.HttpCookie que representa o cookie emitido por sua aplica��o. Isto tamb�m pode interceptar cookies configurados atrav�s de outros componentes, examinando a cole��o HttpResponse.Cookies, e for�ar a atribui��o do caminho nesses cookies, antes da resposta ser enviada ao cliente. Note que se estivermos usando ingressos baseados em URL, n�o h� nenhum modo seguro para pedir ao cliente que restrinja estes ingressos a um namespace de URL particular. O m�nimo que podemos fazer, � evitar a gera��o dos links para URLs n�o cobertas pelo SSL no conte�do de aplica��o.�

Lembre-se de que o SSL introduz uma penalidade de desempenho, assim, a decis�o de cobertura depender� das exig�ncias da sua aplica��o. Usando o SSL deste modo, garantimos que o ingresso n�o seja enviado em texto aberto em qualquer por��o da aplica��o que poderia receber o cookie de ingresso (que � emitido, por padr�o, para todo o dom�nio) ou poderia ser ligado ao estado baseado em URL, ViewState ou armazenado em Form. Para aprender a habilitar o SSL no IIS, veja o Knowledge Base article Como habilitar o SSL para Todos os Clientes que interagem com seu Web Site em um Servi�o de Informa��es Internet - http://support.microsoft.com/kb/298805.�

No ASP.NET 2.0, �as caracter�sticas �de autentica��o Form e de Role Manager, tamb�m suportam as op��es de configura��o requireSSL e cookieRequireSSL, respectivamente, as quais permitem designar o uso de SSL para todas as URLs que podem gerar e podem aceitar ingressos para estas caracter�sticas. Se estiver usando o SSL, configure estas op��es como true, para impedir a revela��o acidental dos ingressos, quando s�o emitidos ou devolvidos em conex�es de texto aberto.�

Infelizmente, mesmo se usarmos o SSL, os ingressos podem ser roubados no cliente. Isto pode acontecer em m�quinas p�blicas, quando as janelas do browser s�o �left open� ou URLs que cont�m ingressos baseados em URL s�o marcados. Tamb�m pode acontecer devido a ataques de scripting cross-site, que podem roubar cookies (adiante, mais sobre este assunto).�

A seguran�a em computadores p�blicos, deveria come�ar pelo encorajamento dos usu�rios no sentido de fechar as janelas do browser, quando terminaram de acessar o site, e fazendo com que o bot�o Log Out, fique altamente vis�vel e prontamente dispon�vel. Al�m disso, podemos considerar a implementa��o de um solu��o JavaScript personalizada, para detectar uma sess�o de cliente inativa e fazer aparecer uma janela pop up que pergunta ao usu�rio se ainda est� l� (e caso positivo, faz um pedido ao servidor para reinicializar a contagem de tempo da sess�o). Esta pr�tica funciona bem com intervalos de ingresso dos servidores mais curtos. Uma solu��o mais extrema est� dispon�vel no ingresso de autentica��o Form, permitindo desabilitar a renova��o do ingresso e for�ar o cliente a fazer novamente o login depois de certo per�odo de tempo, independentemente de haver atividade. Isto impede ao cliente malicioso conseguir capturar o ingresso e renov�-lo para us�-lo indefinidamente, porque o ingresso sempre expirar� ap�s um lapso fixo de tempo. Isto � feito configurando como false, o atributo slidingExpiration no elemento <SYSTEM.WEB><AUTHENTICATION><FORMS>.�

No ASP.NET 2.0, caracter�sticas de cookie baseadas em ingresso emitir�o automaticamente o cookie com o atributo HttpOnly, o que previne que alguns browsers; inclusive o Internet Explorer; tornem o cookie dispon�vel para o JavaScript. Isto impede ataques de scripting cross-site destinados a roubar estes cookies de clientes que usam estes browsers.�

Outra melhor pr�tica � evitar o uso de ingressos baseados em URL a menos que sejam absolutamente requeridos (por exemplo, se temos usu�rios m�veis ou uma exig�ncia de suporte a clientes que desabilitam cookies). Isto acontece porque ingressos baseados em URL, s�o mais suscet�veis a serem descobertos (marcados ou as URLs enviadas por e-mail) e serem usados em ataques tipo "phishing" (enviados atrav�s de e-mail ou colocados em um message board), para fazer com que outro usu�rio compartilhe o ingresso com um cliente malicioso. A melhor coisa a se fazer, � usar ingressos baseados em cookies para todas as caracter�sticas, mas se n�o pudermos faz�-lo, ent�o usarmos uma das configura��es de auto-dete��o dispon�veis no ASP.NET 2.0 para todas as caracter�sticas baseadas em ingresso, inclusive autentica��o Form, Role Manager e session State. Os dois modos dispon�veis s�o UseDeviceProfile (a abordagem recomendada), que usa as capacidades do browser do cliente para determinar se s�o suportados cookies e AutoDetect, que executa uma auto-dete��o baseada em redirecionamento de suporte de cookie, antes de determinar o modo. Isto permite endere�ar o ingresso baseado em URL para os clientes que o necessitam.�

Prevenindo Retomadas

Algumas estrat�gias est�o dispon�veis para impedir a retomada de ingressos. O estado de sess�o do ASP.NET 2.0 prov� um n�vel adicional de prote��o para ingressos Baseados em URL, permitindo rejeitar e regenerar o ID de ingresso de sess�o, quando uma sess�o correspondente n�o � achada no servidor. Isto impede que clientes m�ltiplos compartilhem o mesmo ID de sess�o, caso cliquem na mesma URL, o que pode ter sido provocado por um motor de busca ou pode ter sido postado por um cliente malicioso. Esta caracter�stica � habilitada por padr�o, e pode ser designada para o atributo regenerateExpiredSessionId, do elemento de configura��o <SESSIONSTATE>.�

Podemos tamb�m tentar validar se o cliente que prov� o ingresso � o cliente original para quem o servidor emitiu o ingresso. Esta pr�tica exige capturar atributos un�vocos do cliente e codific�-los no ingresso (com encripta��o e valida��o hash). Ent�o, em cada pedido, podemos comparar os atributos do cliente com os atributos codificados no ingresso, rejeitando o ingresso n�o casados. Infelizmente, a melhor coisa a fazer com clientes HTTP padr�o, � usar o cabe�alho do pedido do agente de usu�rio e o endere�o de IP do cliente. Ambos s�o un�vocos, especialmente o IP, caso o cliente for origin�rio de um servidor proxy, usado por v�rios provedores de acesso inclusive AOL, mas pode prover algum n�vel extra de prote��o.

Evitando Ataques Por Valida��o de Entrada

O melhor que poder�amos extrair deste artigo, deveria ser o velho princ�pio de seguran�a de que qualquer entrada � maligna! Isto � especialmente verdadeiro com aplica��es Web, a maioria das quais recebem entrada de clientes an�nimos remotos. Ao projetar sua aplica��o, lembre-se de que n�o podemos esperar qualquer n�vel seguran�a do browser do cliente. Apenas imagine abrir uma sess�o de telnet e digitar manualmente um pedido HTTP. O cliente pode enviar qualquer URL, cabe�alhos, cookies e campos de formul�rio, de forma completamente independente de como construimos as p�ginas e o JavaScript.�

Por causa disto, lembre-se de que quaisquer dados que a aplica��o recebe dos Cookies, cabe�alhos, QueryStrings e cole��es de campos Form, podem n�o ser seguros. Sempre dever�amos validar toda entrada antes de tomar qualquer decis�o sens�vel baseada nela. Lembre-se de que mesmo se a aplica��o n�o parece tomar qualquer decis�o sens�vel quanto � seguran�a baseada na entrada, os componentes usados podem. Por outro lado, se est� armazenando esta entrada em um meio de persist�ncia confi�vel, tal como um arquivo ou banco de dados, ele poder� ser usado para comprometer outro sistema de software que consome dados.�

A valida��o de entrada � mais bem realizada, pela defini��o de qual � a entrada correta para a aplica��o e rejeitando qualquer outra entrada que n�o se encaixa nesta defini��o. Podemos incluir valida��o de tipo, valida��o de comprimento de seq��ncia, valida��o de intervalo espec�fica e valida��o de express�o regular de formato. Quanto mais r�gida a valida��o, melhor.�

Para entradas que vem de controles de formul�rios ASP.NET, podemos usar os controles� associados ASP.NET Validator, para executar uma grande parte desta valida��o (s� tenha certeza de sempre obrigar a valida��o do lado servidor, chamando Page.IsValid). Para todos os outros dados, execute a valida��o nos callbacks de p�gina. Uma boa regra � executar a valida��o e rejeitar qualquer entrada inv�lida logo que poss�vel, mas antes temos que validar o direito de entrada antes que seja usado.�

Alguns dados de entrada podem tomar muitas formas que tem o mesmo significado, como nomes de usu�rio Windows (user@domain.com ou domain\user) ou caminhos de arquivo e URLs. Ao lidar com tais dados, � cr�tico que sejam convertidos para um formato can�nico antes de tomar qualquer decis�o de autoriza��o ou acesso a recursos baseada neles. Isto � conhecido como canonicaliza��o, e freq�entemente � a fonte de muitas vulnerabilidades de seguran�a em software. Problemas acontecem quando duas camadas diferentes de software, tipicamente as camadas de autoriza��o e acesso a recursos, fazem interpreta��es diferentes de uma seq��ncia n�o-can�nica.�

Para ter certeza de que a aplica��o n�o seja v�tima deste problema, � melhor n�o aceitar tais dados do cliente, e administr�-los interiormente na aplica��o. Se aceitarmos tal entrada, precisamos convert�-la para uma representa��o padr�o, e termos certeza de que usamos um conjunto padr�o de APIs para process�-las atrav�s das diferentes camadas da aplica��o. Por exemplo, se estamos lidando com o arquivo de caminhos do sistema, usamos sempre a API System.IO.Path.GetFullPath para obter uma representa��o can�nica do caminho, e outra API daquela classe para trabalhar com o caminho resultante (note que APIs de E/S nativas e APIs de E/S .NET usam um formato de canonicaliza��o diferente, e converter seq��ncias de caminho .NET para c�digo nativo podem conduzir a vulnerabilidades de canonicaliza��o). Use a classe ASP.NET 2.0 System.Web.VirtualPathUtility para trabalhar com caminhos virtuais ASP.NET e evite fazer sua pr�pria manipula��o de dados de seq��ncia de caminho, porque � bem poss�vel que possa perder um caso especial e isto acabe sendo prejudicial.�

As duas maiores amea�as de entrada mais comuns para uma aplica��o Web, s�o o cross-site scripting e a SQL Injection. O Cross-site Scripting, tamb�m conhecido como XSS, tenta for�ar um browser a rodar c�digo do lado cliente, submetendo um fragmento de script codificado como entrada para uma aplica��o Web que a ecoa via resposta, n�o necessariamente para o mesmo cliente. O XSS pode ser usado para roubar cookies de autentica��o, ou modificar o conte�do exibido pelo browser com inten��o maliciosa. Ataques de XSS s�o mitigados, rejeitando qualquer entrada que possa conter scripts XSS como parte da estrat�gia de valida��o de entrada, e codificando em HTML a entrada que � ecoada para o cliente tornando os scripts XSS completamente inofensivos.�

O ASP.NET 1.1 prov� a op��o validateRequest que descobre assinaturas XSS comuns em entradas para p�ginas ASP.NET e encerra o pedido. Se puder, mantenha esta op��o habilitada nas p�ginas, mas lembre-se de que isto n�o se aplica para conte�do que n�o � de p�gina, e esta op��o por si s�, n�o � suficiente para prover valida��o de entrada para a aplica��o.�

Se escrever a resposta manualmente ou desenvolver um controle personalizado, sempre codifique em HTML a sa�da da aplica��o que ir� conter entrada de cliente, usando o HttpUtility.HtmlEncode e m�todos de HttpUtility.UrlEncode. Os controles ASP.NET 2.0 GridView e DetailsView, prov�em a habilidade para codificar em HTML, partes da sa�da �que est� ligada a dados. Por�m, em todos os outros casos � respons�vel por codificar em HTML, as seq��ncias consideradas n�o confi�veis antes de atribuir propriedades que afetem o controle de sa�da.�

Como uma medida de defesa em profundidade, algumas caracter�sticas do ASP.NET 2.0 configuram o atributo HttpOnly nos cookies, para impedir que sejam acessados atrav�s de script do lado cliente. Tamb�m dever�amos configurar esta propriedade nos cookies personalizados .�

O SQL Injection recorre a outra forma de inje��o de script, s� que desta vez, injetando peda�os especialmente extra�dos de par�metros de entrada de consultas SQL, que s�o usados para a aplica��o construir consultas SQL din�micas. Este pode ser um ataque muito perigoso, pois pode permitir ao atacante roubar dados sens�veis do banco de dados e em alguns casos tamb�m alter�-los.�

Para impedir ataques SQL Injection, al�m de usar valida��o de entrada forte, n�o devemos construir consultas com SQL din�mico, baseadas em entradas do cliente. Em lugar disto, usamos consultas fixas ou stored procedures com par�metros fortemente tipados, que s�o inicializados com a entrada do cliente.

ASP.NET e CAS�

O ASP.NET prov� um modelo de seguran�a de acesso a c�digo (CAS � code access security) que trabalha com o mecanismo �de seguran�a de c�digo de acesso no .NET Framework. O ASP.NET usa principalmente seu modelo CAS para �encaixotar� o c�digo da aplica��o Web, tanto como um mecanismo de menor privil�gio e tamb�m para isolar m�ltiplas aplica��es ASP.NET em um servidor compartilhado.�

O CAS ASP.NET est� baseado em n�veis de confian�a (veja Tabela 4) e pode ser configurado para cada aplica��o designando o atributo trustLevel dentro da se��o de configura��o <SYSTEM.WEB><FORMS>. Os n�veis de confian�a dispon�veis est�o definidos dentro da se��o de configura��o <SYSTEM.WEB><SECURITYPOLICY>, e mapeiam cada n�vel de entrada confi�vel para um arquivo de pol�tica de seguran�a que cont�m as permiss�es correspondentes permitidas para a aplica��o naquele n�vel (os arquivos ficam situados dentro do diret�rio version\CONFIG do .NET Framework). Ambas as se��es deveriam ser bloqueadas na configura��o ao n�vel de m�quina, quando a aplica��o n�o for confi�vel, para impedir que possa anular a configura��o de n�vel de confian�a do arquivo Web.config.

Tabela 4 N�veis de Confian�a CAS Padr�o

N�vel de Confian�a	Descri��o
Full	A aplica��o tem acesso irrestrito para todas as APIs, inclusive chamadas a c�digo nativo (padr�o).
High	A aplica��o n�o pode chamar c�digo nativo, mas pode fazer quase tudo o mais.
Medium	A aplica��o est� �encaixotada� para impedir que acesse recursos fora do seu controle, tais como acesso a arquivos fora da raiz da aplica��o ou abrir conex�es de rede.
Low	A aplica��o pode usar a maior parte das caracter�sticas do ASP.NET, mas tem restri��es de acesso a recursos for a do seu controle. Este � o n�vel de confian�a mais adequado para aplica��es n�o confi�veis num servidor hospedeiro.
Minimal	A aplica��o tem um n�vel de confian�a altamente restrito. Neste n�vel, as aplica��es usar�o caracter�sticas ASP.NET embutidas e muito pouco ou nenhum c�digo.

Em tempo de execu��o, o conjunto de permiss�es no arquivo de pol�tica de confian�a � associado a todo o c�digo do usu�rio, incluindo assemblys compilados no diret�rio /Bin, p�ginas personalizadas e c�digo em controles, e c�digo localizado no diret�rio App_Code. Para ser exato, o conjunto resultante de permiss�es � uma interse��o das permiss�es ao n�vel de aplica��o especificadas no arquivo de pol�ticas de confian�a ASP.NET, com as permiss�es ao n�vel de empresa, m�quina e usu�rio da configura��o de hierarquia do CAS, onde cada n�vel inferior, s� reduz o conjunto de permiss�es concedida pelos n�vel superior.�

Usando n�veis de confian�a com conjuntos de permiss�es mais restritivos, podemos diminuir o potencial de dano da aplica��o caso a mesma esteja comprometida, e �encaixotar� a aplica��o restringindo as opera��es, para aquelas que n�o podem afetar outras aplica��es no computador. � recomendado testar e rodar as aplica��es no n�vel de confian�a m�dio (m�dium) se s�o confi�veis, e n�vel de confian�a baixo se n�o s�o confi�veis (especialmente em um servidor compartilhado). Note que rodar em n�vel de confian�a parcial introduz uma penalidade de desempenho, portanto isto pode n�o ser apropriado em alguns cen�rios. Por padr�o, o ASP.NET usa o n�vel de confian�a pleno (full), que permite que a aplica��o s� tenha acesso irrestrito na m�quina espec�fica, sujeito �s limita��es de seguran�a do Windows.�

Sua aplica��o pode encontrar v�rios problemas comuns devido a permiss�es insuficientes, ao rodar com confian�a parcial. V�rios assemblys do sistema exigem que o visitante seja completamente confi�vel, pela omiss�o do atributo Permitir Assemblys de Visitantes Parcialmente Confi�veis - APTCA, o que efetivamente os torna n�o utiliz�veis com confian�a parcial. Nesta situa��o, existe a op��o de impedir o uso destes assemblys da aplica��o ou encapsular a funcionalidade necess�ria em um assembly encapsulante registrado no Global Assembly Cache - GAC e que tenha o atributo APTCA configurado e a assertiva de permiss�o irrestrita no envelopador. Caso escolhermos este �ltimo, devemos ser extremamente cuidadosos ao validar e restringir o uso do assembly encapsulante para o n�vel m�nimo exigido, e exigir um outro conjunto de permiss�es para reduzir a �rea de contato do novo assembly.�

Outros c�digos usados pela aplica��o, podem exigir permiss�es em tempo de execu��o que n�o s�o concedidos pelo arquivo de pol�tica ativo. Nesta situa��o, existe ainda a op��o anterior, mas tamb�m podemos acrescentar o n�vel m�nimo da permiss�o necess�ria ao arquivo de pol�tica desejado. Isto ser� provavelmente necess�rio para qualquer c�digo que exige permiss�es personalizadas, para as quais os arquivos de confian�a parcial do ASP.NET n�o tem conhecimento.

Os n�veis de confian�a do ASP.NET, n�o se aplicam ao c�digo ASP.NET interno, o qual sempre executa com permiss�es irrestritas. Isto significa que a aplica��o pode ser potencialmente configurada para executar a��es que s�o proibidas para c�digo personalizado, principalmente por atribui��es de configura��o ou atribui��es declarativas em p�ginas e controles ASP.NET. Por exemplo, embora n�o possamos nos conectar ao Servidor SQL via nosso pr�prio c�digo, podemos configurar o controle SqlDataSource para conectar e executar consultas, porque faz parte do assembly System.Web e � registrado no GAC. O ASP.NET 2.0 minimiza este problema provendo uma op��o para executar o caminho �do c�digo de processamento completo de confian�a da aplica��o, inclusive o caminho interno do c�digo de processamento da p�gina e o processamento do controle ASP.NET associado. Isto � configurado com o atributo processRequestInApplicationTrust da se��o de configura��o <SYSTEM.WEB><FORMS>, e � habilitado por padr�o. Esta atribui��o pode fazer com que algum c�digo pare quando for registrado no GAC, devido � suposi��o de que executar� com permiss�es irrestritas.�

Para lidar com esta situa��o, e tamb�m para simplificar a administra��o da seguran�a de permiss�es, v�rias caracter�sticas do ASP.NET confirmam todas as permiss�es requeridas para execu��o e obrigam a aplica��o a rodar em um n�vel de confian�a particular, como determinado pela AspNetHostingPermission, concedida em cada um dos arquivos de pol�tica de n�vel de confian�a. Por exemplo, a caracter�stica de estado de sess�o pode ser usada em todos os n�veis de confian�a, mas os modos de estado de mem�ria SQL e State Server externos ao processo, requerem confian�a m�dia e confirmam todas as outras permiss�es (como SqlClientPermission e SocketPermission, respectivamente).�

Note que o CAS � completamente independente do modelo de seguran�a Windows. O CAS usa permiss�es concedidas a um trecho de c�digo e o Windows usa privil�gios e objetos ACL expressos em termos da identidade Windows de processo ou thread. O CAS restringe tamb�m o conjunto de a��es que o c�digo gerenciado em um processo Windows pode executar, mas n�o substitui a seguran�a do Windows e nem permite que o c�digo gerenciado passe por cima da mesma. O CAS s� pode controlar o acesso a c�digo gerenciado das API. Se uma aplica��o pode chamar c�digo nativo, ent�o poder� passar por cima de todas as restri��es do mesmo. Por isso, nunca dever�amos usar uma identidade Windows com baixos privil�gios para os processos oper�rios.

Auditando com Web Events

Auditagem � o processo de monitorar o uso de aplica��es e coletar informa��o relevante sobre seguran�a. � uma parte importante da opera��o das aplica��es, pois permite detectar e parar brechas potenciais de seguran�a, assim como investig�-las ap�s o fato consumado, para futura preven��o. Em certos casos, a auditagem pode ajudar a identificar o atacante e adotar a��es contra o mesmo.

No ASP.NET, a infra-estrutura de auditagem da aplica��es � implementada atrav�s da caracter�stica de eventos Web. Eventos Web s�o um framework para a emiss�o de informa��o valiosa para um ou mais provedores configur�veis, incluindo a contribui��o de controles de valiosos, que definem como e para onde os eventos ser�o enviados. O ASP.NET fornece uma hierarquia b�sica de classes de eventos, que s�o usadas pelo pr�prio framework para prover informa��o �til sobre a execu��o de uma aplica��o, e podem tamb�m ser usados como uma funda��o para eventos personalizados provocados pelo c�digo da sua aplica��o. Um caso de tais eventos que � interessante por uma perspectiva de seguran�a, s�o os eventos de auditoria de seguran�a, que derivam da classe System.Web.Management.WebAuditEvent como mostrado na Tabela 5.�

Tabela 5 Eventos de Auditoria de Seguran�a no ASP.NET 2.0

Evento	Descri��o
WebAuditEvent	Classe b�sica para todos os eventos de auditoria.
WebFailureAuditEvent	Classe b�sica para todos os eventos de falha de auditoria, que s�o provocados sempre que uma a��o de seguran�a falha. O ASP.NET provoca estes eventos quando a autoriza��o de URL ou de arquivo falha na autoriza��o do pedido.
WebSuccessAuditEvent	Classe b�sica para todos os eventos de auditoria bem sucedidos, que s�o provocados sempre que uma a��o de seguran�a � bem sucedida. O ASP.NET provoca estes eventos quando a autoriza��o de URL tem sucesso ao autorizar um pedido.
WebAuthenticationFailureAuditEvent	Classe b�sica para todos os eventos de falha de auditoria, que s�o provocados sempre que uma tentativa de autentica��o falha. O ASP.NET provoca estes eventos quando provedores Membership ou a autentica��o de formul�rio falham na valida��o das credenciais fornecidas ou quando a autentica��o do ingresso de formul�rio falha na decripta��o� ou na valida��o.
WebAuthenticationSuccessAuditEvent	Classe b�sica para todos os eventos de auditoria bem sucedidos, que s�o provocados sempre que uma tentativa de autentica��o � bem sucedida. O ASP.NET provoca estes eventos quando provedores Membership ou a autentica��o de formul�rio tem sucesso na valida��o das credenciais fornecidas.
WebViewStateFailureAuditEvent	A classe para o evento de falha de auditoria de ViewState, que � provocada sempre que o ASP.NET falha no processamento do ViewState, devido a um problema de encripta��o ou valida��o.

Se estivermos executando autoriza��o de aplica��o personalizada, acessando recursos cr�ticos ou executando qualquer outra opera��o relativa � seguran�a, dever�amos considerar instrument�-lo, criando e provocando um evento personalizado derivado ou da classe WebAuditEvent ou da combina��o das classes �WebAuditFailureEvent e WebAuditSuccessEvent.�

A Listagem 3 mostra um evento personalizado que � provocado quando um p�gina .aspx n�o conseguiu validar um par�metro de entrada. Podemos capturar os eventos de auditoria desejados configurando uma regra de eventos Web, para direcionar todos os eventos que derivam de uma classe b�sica de auditoria particular, para um provedor espec�fico, e configurar o evento de supress�o apropriado e as atribui��es de buffer baseadas nas exig�ncias. O evento de supress�o permite restringir a taxa de eventos gerada pela aplica��o, cancelando eventos sempre que a taxa exceder esta configura��o, e o buffer permite acomodar picos de eventos, atrav�s do buffer de eventos em mem�ria e eliminando-os de uma maneira inteligente, para proteger o canal de entrega de eventos. � altamente recomendado o uso de um provedor que suporte buffer, como o System.Web.Management.SqlWebEventProvider, de forma a poder usar atribui��es de supress�o mais relaxadas para evitar a perda de eventos, mas ainda podendo acomodar um grande fluxo destes.�

Listagem 3 Eventos de Valida��o de Entrada Personalizados

Note que as opera��es normais da aplica��o, ir�o gerar abundantes sucessos de auditoria, que podem n�o ser muito interessantes de uma perspectiva de seguran�a e podem provocar um aumento da taxa de eventos alta, que acabar� impactando o desempenho da aplica��o ou contribuir� para uma condi��o de nega��o de servi�o. Eventos Web esperam que a supress�o de atribui��es conduza a perda de eventos sob condi��es da altas taxa destes. O n�mero seq�encial em cada evento, indicar� quantos foram provocados de fato, quando nem todos os eventos s�o capturados pelo provedor.�

Figure 11 Auditing Event Raised by Invalid Membership Credentials ��

Figura 3 Evento de Auditoria Provocado por Credenciais Membership Inv�lidas

Por padr�o, s�o capturados apenas eventos de falha de auditoria no provedor de eventos de log, e aparecer� no m�ximo um por minuto para impedir o transbordamento do event log. A Figura 3 mostra um WebAuthenticationFailureAuditEvent provocado pelo provedor Membership, quando a aplica��o tentou autenticar um usu�rio com credenciais inv�lidas.

Resumindo

O IIS 6.0 e o ASP.NET fornecem uma s�lida plataforma Web para aplica��es criadas tendo a seguran�a em mente. Mas no final das contas, � responsabilidade da aplica��o adotar as melhores pr�ticas de seguran�a, para evitar a introdu��o de vulnerabilidades potenciais. Isto significa que temos que prestar aten��o a estas melhores pr�ticas durante o projeto, desenvolvimento e distribui��o das aplica��es, e termos certeza de que a aplica��o tem uma estrutura forte por se proteger. As pr�ticas mencionadas neste artigo, devem ajud�-lo a avaliar os aspectos cr�ticos de seguran�a da aplica��o, e dar algumas id�ias a respeito de como tirar vantagem das caracter�sticas de seguran�a da plataforma, dispon�veis no IIS e no ASP.NET.�

Pelo fato de que constantemente s�o descobertos novos tipos de ataques e novos modos de explorar software, seguir os princ�pios de menor privil�gio, �rea de contato reduzida e defesa em profundidade ao longo do ciclo de vida da aplica��o, pode ajudar a minimizar futuros ataques imprevistos. Pr�ticas de projeto mais seguras est�o dispon�veis em "Introdu��o � Aplica��o de Seguran�a na Web" (Introduction to Web Application Security - http://msdn.microsoft.com/library/en-us/secmod/html/secmod71.asp), nos padr�es e guia de pr�ticas, uma fonte muito boa como guia de seguran�a de aplica��o Web, que pode ser usada para aprender mais sobre id�ias espec�ficas aqui examinadas. Uma fonte para mais pr�ticas de seguran�a no ASP.NET 2.0, pode ser achada em Pr�ticas de Seguran�a: Praticas de Seguran�a com o ASP.NET 2.0 num Relance (Security Practices: ASP.NET 2.0 Security Practices at a Glance - http://msdn.microsoft.com/library/en-us/dnpag2/html/PAGPractices0001.asp).

Michael Volodarsky � Gerente T�cnico de Programa para a Web Platform e Tools Team na Microsoft. Possui a infra-estrutura fundamental de servidor para o ASP.NET e o IIS e est� dedicado agora ao melhoramento da Web application platform para a pr�xima gera��o do Web Server, IIS 7.0.�

Confira outros conte�dos:

Teste unit�rio com NUnit

Como migrar projetos do ASP.NET MVC...

Crie relat�rios com o Stimulsoft...

Assista grátis a nossa aula inaugural

Perguntas frequentes

Quem somos?

Por que a programação se tornou a profissão mais promissora da atualidade?

Como faço para começar a estudar?

Em quanto tempo de estudo vou me tornar um programador?

Sim, você pode se tornar um programador e não precisa ter diploma de curso superior!

O que eu irei aprender estudando pela DevMedia?

Principais diferenciais da DevMedia

Qual o investimento financeiro que preciso fazer para me tornar um programador?

Como funciona a forma de pagamento da DevMedia?

Por Marcus Em 2005

Nossos casos de sucesso

Leonardo Carlos

Eu sabia pouqu�ssimas coisas de programa��o antes de come�ar a estudar com voc�s, fui me especializando em v�rias �reas e ferramentas que tinham na plataforma, e com essa bagagem consegui um est�gio logo no in�cio do meu primeiro per�odo na faculdade.

Lucas Rodrigues

Estudo aqui na Dev desde o meio do ano passado! Nesse per�odo a Dev me ajudou a crescer muito aqui no trampo.
Fui o primeiro desenvolvedor contratado pela minha empresa. Hoje eu lidero um time de desenvolvimento!
Minha meta � continuar estudando e praticando para ser um Full-Stack Dev!

Her�clito J�nior

Economizei 3 meses para assinar a plataforma e sendo sincero valeu muito a pena, pois a plataforma � bem intuitiva e muuuuito did�tica a metodologia de ensino. Sinto que estou EVOLUINDO a cada dia. Muito obrigado!

Julio Cablen

Nossa! Plataforma maravilhosa. To amando o curso de desenvolvimento front-end, tinha coisas que eu ainda n�o tinha visto. A did�tica � do jeito que qualquer pessoa consegue aprender. S�rio, to apaixonado, adorando demais.

Joelberth Sena

Adquiri o curso de voc�s e logo percebi que s�o os melhores do Brasil. � um passo a passo incr�vel. S� n�o aprende quem n�o quer. Foi o melhor investimento da minha vida!

Felipe Nunes

Foi um dos melhores investimentos que j� fiz na vida e tenho aprendido bastante com a plataforma. Voc�s est�o fazendo parte da minha jornada nesse mundo da programa��o, irei assinar meu contrato como programador gra�as a plataforma.

Wanderson Oliveira

Comprei a assinatura tem uma semana, aprendi mais do que 4 meses estudando outros cursos. Exerc�cios pr�ticos que n�o tem como n�o aprender, est�o de parab�ns!

Jos� Lucas

Obrigado DevMedia, nunca presenciei uma plataforma de ensino t�o presente na vida acad�mica de seus alunos, parab�ns!

Eduardo Dorneles

Aprendi React na plataforma da DevMedia h� cerca de 1 ano e meio... Hoje estou h� 1 ano empregado trabalhando 100% com React!

Adauto Junior

J� fiz alguns cursos na �rea e nenhum � t�o bom quanto o de voc�s. Estou aprendendo muito, muito obrigado por existirem. Est�o de parab�ns... Espero um dia conseguir um emprego na �rea.

Ver todos os casos de sucesso

Seguran�a no ASP.NET2

Marcus Garcia traz um artigo de Michael Volodarsky que aborda v�rios temas sobre seguran�a no ASP.NET2.