Podařilo se mi napsat a zprovoznit modul, který umožní obejít dříve zmíněnou bezpečnostní chybu v ASP.NET, a to bez zásahu do aplikace samé. Jeho aplikace nevyžaduje žádné specifické znalosti a je velmi jednoduchá.
Rubrika Bezpečnost
V pátek byla zveřejněna kritická bezpečnostní chyba ve všech verzích ASP.NET, od 1.0 po 4.0 včetně. Dosud na ni neexistuje patch, jenom workaround, a ten je bohužel dosti pracný.
Téměř přesně před rokem jsem si v článku Jak se zjišťuje identita webu u Personal Information Cards? stěžoval na to, že algoritmus pro výpočet identity relying party (tedy typicky webu) je špatný. Specifikace ISIP verze 1.5 tento problém řeší. Problém u Windows CardSpace řeší .NET Framework 3.5 SP1.
Otázky na forms autentizaci patří na mých kurzech k velmi častým. I místní článek "Forms authentication a session state - proč nejsou synchronní?" vzbudil jistý zájem. Pojďme se tedy podrobněji podívat na to, jak forms authentication funguje, a rozeberme si onen magický autentizační ticket.
Zajištění soukromí uživatelů je jedním z hlavích cílů technologie Information Cards (CardSpace). V případě osobních (unmanaged) karet jsou různým webům zaslány různé údaje, takže provozovatelé těchto webů je nemohou spojit nebo zneužít. Proces zjišťování identity webů je ale dosti komplikovaný. Pojďme se na něj podívat podrobně a zabývejme se důsledky, které z něj plynou.
Právě jsem na CodePlex nahrál novou verzi svých Simple ASP.NET Providers. Verze 1.0.1 opravuje pár chyb, na které jsem byl upozorněn.
Ve druhém dílu seriálu "Přísně tajné šifry" se podíváme na správu klíčů nejběžnějšího asymetrického šifrovacího algoritmu - RSA.
Současným průmyslovým standardem pro symetrické šifrování je algoritmus AES (Advanced Encryption Standard), nazývaný též Rijndael. Je k dispozici i jako součást Microsoft .NET Frameworku a je k dispozici všem programátorům.
Technologie HMAC (Hash Message Authentication Code) je základem elektronického podpisu. Pomocí jednosměrné funkce pro výpočet kontrolního součtu (hashování) můžete ověřovat, zda data nebyla modifikována. S trochou chytrého využití můžete s hashem dělat lecjaká kouzla a zjednodušit vývoj aplikací a zároveň zvýšit jejich bezpečnost.
Získat náhodná čísla je mnohem složitější, než jak to na první pohled vypadá. Zejména pokud jich potřebujeme hodně. A to v kryptografii většinou potřebujeme. Tento článek se zabývá tím, jak v .NET získat dostatek čísel, která jsou skutečně náhodná.