none
Autenticacion RRS feed

  • Pregunta

  • Que opinan de usar una cookie sencilla de tipo formsauthentication.setauthcookie para la autenticacion de usuarios, se trata de una aplicacion para gestion de reportes, ustedes que opinan? es muy fragil? lo que pasa es que quiero poder asignar permisos a diversos modulos de aplicacion y pues el proveedor de asp net no me parecia correcto, ahora lo que hago es que solo asigno una cookie al usuario cuando compruebo que este existe en la base de datos
    miércoles, 21 de diciembre de 2011 23:09

Respuestas

  • Bueno... Eso es lo que hace el proveedor de ASP.NET o sea que... no me parece mal. :)

    De hehco es la forma de hacerlo, a no ser que implementes un sistema de autenticación personalizada que no se base en cookies (p.ej. uses oAuth): se trata de no reinventar la rueda.

    Usando FormsAuthentication.SetAuthCookie tu aplicación es tan segura como lo es ASP.NET. Oh, es cierto, a veces se detectan fallos de seguridad, pero lo bueno es que Microsoft los resuelve con un parche. Si te creas tu propio mecanismo de seguridad, lo más normal es que termines creando algo lleno de agujeros de seguridad y total... ¿para que? Dificilmente será más seguro que lo que viene de serie. Como he dicho antes, el motivo para crearte tu propio sistema de seguridad NO es que el de serie sea inseguro. Es que tu necesites algo que el de serie no aporta.  O sea que... adelante con ello!

    También comentarte que, por norma general, los agujeros de seguridad de tu aplicación estarán en TU código: SQL Injection, ataques XSS, CSRF... debes primero conocerlos y luego saber como prevenirte de ellos!

    Saludos!


    Eduard Tomàs Blog: http://geeks.ms/blogs/etomas -- Twitter: eiximenis
    • Marcado como respuesta Eder Costa jueves, 18 de octubre de 2012 14:18
    jueves, 22 de diciembre de 2011 7:28

Todas las respuestas

  • Bueno... Eso es lo que hace el proveedor de ASP.NET o sea que... no me parece mal. :)

    De hehco es la forma de hacerlo, a no ser que implementes un sistema de autenticación personalizada que no se base en cookies (p.ej. uses oAuth): se trata de no reinventar la rueda.

    Usando FormsAuthentication.SetAuthCookie tu aplicación es tan segura como lo es ASP.NET. Oh, es cierto, a veces se detectan fallos de seguridad, pero lo bueno es que Microsoft los resuelve con un parche. Si te creas tu propio mecanismo de seguridad, lo más normal es que termines creando algo lleno de agujeros de seguridad y total... ¿para que? Dificilmente será más seguro que lo que viene de serie. Como he dicho antes, el motivo para crearte tu propio sistema de seguridad NO es que el de serie sea inseguro. Es que tu necesites algo que el de serie no aporta.  O sea que... adelante con ello!

    También comentarte que, por norma general, los agujeros de seguridad de tu aplicación estarán en TU código: SQL Injection, ataques XSS, CSRF... debes primero conocerlos y luego saber como prevenirte de ellos!

    Saludos!


    Eduard Tomàs Blog: http://geeks.ms/blogs/etomas -- Twitter: eiximenis
    • Marcado como respuesta Eder Costa jueves, 18 de octubre de 2012 14:18
    jueves, 22 de diciembre de 2011 7:28
  • Excelente! eso me tranquiliza crei que estaba haciendo las cosas verdaderamente mal, muchas gracias
    jueves, 22 de diciembre de 2011 16:22