Защищенные клиентские приложения (ADO.NET)
Обновлен: November 2007
Обычно приложения состоят из многих частей, которые необходимо защищать от уязвимостей, которые могут привести к потере данных или иным образом нарушить безопасность системы. Создавая защищенные пользовательские интерфейсы, можно предотвратить многие проблемы за счет блокирования организаторов атак до того, как они получат доступ к данным или системным ресурсам.
Проверка ввода пользователя
При построении приложения, которое работает с данными следует, пока не было доказано обратного, рассматривать все действия пользователя злонамеренными. Несоблюдение этого правила может привести к созданию уязвимого для атак приложения. Платформа .NET Framework содержит классы, позволяющие вводить в действие домен значений для элементов управления, например, ограничивающих число символов, которое можно ввести. При помощи обработчиков событий (hooks) можно писать процедуры для проверки допустимости значений. Данные ввода пользователей можно проверять и строго типизировать, ограничивая тем самым уязвимость приложения для эксплойтов сценариев и атак путем внедрения кода SQL.
.gif "Примечание о безопасности") Примечание о безопасности. |
|---|
Кроме того, также следует проверять ввод пользователя в источнике данных и в клиентском приложении. Злоумышленник может обойти приложение и атаковать источник данных напрямую. |
Безопасность и ввод данных пользователем
Описывает, как обрабатывать неявные и потенциально опасные ошибки, связанные с вводом пользователя.Проверка сведений, вводимых пользователем на веб-страницах ASP.NET
Общие сведения о проверке ввода пользователя при помощи элементов управления проверкой ASP.NET.Ввод данных пользователем в Windows Forms
Приводятся ссылки и сведения о проверке действий, произведенных при помощи мыши и клавиатуры, в приложении Windows Forms.Регулярные выражения в .NET Framework
Описывает, как использовать класс Regex для проверки допустимости ввода пользователя.
Windows-приложения
Раньше Windows-приложения обычно выполнялись с полными разрешениями. Платформа .NET Framework предоставляет инфраструктуру для ограничения выполнения кода в Windows-приложении при помощи управления доступом для кода (CAS). Однако только механизма CAS для защиты приложения не достаточно.
Безопасность Windows Forms
Рассказывается, как защищать приложения Windows Forms. Здесь также приводятся ссылки на связанные разделы.Windows Forms и неуправляемые приложения
Описывает, как взаимодействовать с неуправляемыми приложениями в приложении Windows Forms.Развертывание ClickOnce для приложений Windows Forms
Описывается использование развертывания ClickOnce в приложении Windows Forms, а также обсуждаются вопросы безопасности.
ASP.NET и веб-службы XML
Доступ к некоторым разделам веб-узла для приложений ASP.NET обычно необходимо ограничивать и обеспечивать другие механизмы защиты данных и обеспечения безопасности узлов. Эти ссылки ведут к полезным сведениям, описывающим защиту приложений ASP.NET.
Веб-служба XML предоставляет данные, которые могут потреблять приложение ASP.NET, приложение Windows Forms или другая веб-служба. Необходимо обеспечивать безопасность самой веб-службы, а также клиентского приложения.
Дополнительные сведения см. в следующих ресурсах.
Ресурс |
Описание |
|---|---|
Обсуждается, как защищать приложения ASP.NET. |
|
Обсуждается, как обеспечивать безопасность веб-службы ASP.NET. |
|
Обсуждается, как защищаться от атак эксплойта сценариев, которые пытаются вставить вредоносные символы в веб-страницу. |
|
Базовые методы обеспечения безопасности веб-приложений ASP.NET |
Общие сведения о безопасности и ссылки на дополнительные разделы. |
Удаленное взаимодействие
Возможности по удаленному взаимодействию платформы .NET позволяют строить широко распределенные приложения независимо от того, находятся ли все компоненты приложения на одном компьютере или разбросаны по всему миру. Можно строить клиентские приложения, использующие объекты в других процессах на этом же компьютере или на любом другом компьютере, с которым можно связаться по данной сети. Возможности по удаленному взаимодействию платформы .NET можно также применять для обмена данными с другими доменами приложений в рамках одного процесса.
Ресурс |
Описание |
|---|---|
Обсуждается, как настраивать удаленно взаимодействующие приложения, чтобы избежать обычных проблем. |
|
Описывает проверку подлинности и шифрование, а также другие разделы безопасности, имеющие отношение к удаленному взаимодействию. |
|
Описывает вопросы безопасности в отношении защищенных объектов и пересечения доменов приложений. |
См. также
Основные понятия
Рекомендации по стратегиям доступа к данным
Защита сведений о соединении (ADO.NET)