Как сделать веб-сайт защищенным с https

Думаю, вы путаются с аутентификацией вашего сайта и SSL.

Если вам нужно перевести свой сайт на SSL, вам нужно будет установить сертификат SSL на свой веб-сервер. Вы можете купить сертификат для себя в одном из таких мест, как Symantec и т. Д. Сертификат будет содержать вашу пару открытого / закрытого ключей, а также другие вещи.

Вам не нужно будет ничего делать в исходном коде, и вы все равно можете продолжать использовать свою Форму Аутентификации (или любую другую) на своем сайте. Дело в том, что любой обмен данными между веб-сервером и клиентом будет зашифрован и подписан с использованием вашего сертификата. Люди будут использовать безопасный HTTP (https: //) для доступа к вашему сайту.

Просмотрите это для получения дополнительной информации -> http://en.wikipedia.org/wiki/Transport_Layer_Security

Какие деловые данные ? Торговые секреты или просто вещи, которые они не хотят, чтобы люди видели, но если бы они узнали об этом, это не было бы большой проблемой? Если мы говорим о коммерческой тайне, финансовой информации, информации о клиентах и прочем, что обычно является конфиденциальным. Тогда даже не иди по этому пути.

Мне интересно, нужно ли мне использовать защищенное соединение (https) или просто аутентификации форм достаточно.

Используйте безопасное соединение до конца.

Нужно ли мне изменить код / Конфигурировать

Да. Может и нет. Возможно, вы захотите, чтобы эксперт сделал это за вас.

SSL и https один и тот же...

В основном да. Люди обычно называют эти вещи одной и той же вещью.

Нужно ли мне подавать заявление с кем-то, чтобы получить какую-нибудь лицензию или что-то в этом роде.

Вероятно, вы хотите, чтобы ваш сертификат был подписан центром сертификации. Это будет стоить вам или вашему клиенту немного денег.

Нужно ли мне сделать все мои страницы защищенными или только страницу входа...

Используйте https везде. Производительность обычно не является проблемой, если сайт предназначен для внутренних пользователей.

Я искал ответ в Интернете, но я не смог получить все эти Очки... Любая белая бумага или другая ссылки также были бы полезны...

Начните с некоторых указателей: http://www.owasp.org/index.php/Category:OWASP_Guide_Project

Обратите внимание, что SSL - это ничтожный способ сделать ваш веб-сайт безопасным, как только он станет доступен из Интернета. Он не предотвращает большинство видов взлома.

@balalakshmi упомянул о правильных настройках аутентификации. Аутентификация - это только половина проблемы, вторая половина - авторизация.

Если вы используете аутентификацию с помощью форм и стандартные элементы управления, такие как , вам нужно сделать несколько вещей, чтобы гарантировать, что только ваши аутентифицированные пользователи могут получить доступ к защищенным страницам.

В web.config в разделе вам необходимо отключить анонимный доступ по умолчанию:

<authorization>
 <deny users="?" />
</authorization>

Любые страницы, к которым будет осуществляться анонимный доступ ( например, сама страница Login.aspx) должна иметь переопределение, которое повторно разрешает анонимный доступ. Для этого требуется элемент , и он должен находиться на уровне ( за пределами раздела . ), например так:

<!-- Anonymous files -->
<location path="Login.aspx">
 <system.web>
  <authorization>
   <allow users="*" />
  </authorization>
 </system.web>
</location>

Обратите внимание, что вам также необходимо разрешить анонимный доступ к любым таблицам стилей или сценариям, которые используются анонимными страницами:

<!-- Anonymous folders -->
<location path="styles">
 <system.web>
  <authorization>
   <allow users="*" />
  </authorization>
 </system.web>
</location>

Имейте в виду, что атрибут path местоположения является относительно сети .config и не может иметь префикса ~ / , в отличие от большинства других атрибутов конфигурации типа пути.

Для бизнес-данных, если данные являются частными, я бы использовал защищенное соединение, в противном случае достаточно проверки подлинности с помощью форм.

Если вы все же решите использовать защищенное соединение, обратите внимание, что у меня нет опыта защиты веб-сайтов, я просто отказываюсь от того, с чем столкнулся во время моего личного опыта. Если я в любом случае ошибаюсь, пожалуйста, поправьте меня.

Что мне делать, чтобы подготовить мой сайт к работе с https. (Нужно ли мне изменять код / ​​конфигурацию)

Чтобы включить SSL (Secure Sockets Layer) для вашего веб-сайта, вам необходимо настроить сертификат, код или конфигурация не изменяются .

Я включил SSL для внутреннего веб-сервера, используя OpenSSL и ActivePerl из этого онлайн-руководства . Если это используется для более широкой аудитории (моя аудитория составляла менее 10 человек) и является общественным достоянием, я предлагаю поискать профессиональные альтернативы.

Является ли SSL и https одним и тем же ...

Не совсем, но они идут рука об руку! SSL гарантирует, что данные шифруются и дешифруются взад и вперед, пока вы просматриваете веб-сайт, https - это URI, который необходим для доступа к защищенному веб-сайту. Вы заметите, что при попытке доступа к http://secure.mydomain.com отображается сообщение об ошибке.

Нужно ли мне подавать заявку на получение лицензии или чего-то подобного?

Вам не нужно будет получать лицензию, а скорее сертификат. Вы можете изучить компании, которые предлагают профессиональные услуги по защите веб-сайтов, например VeriSign .

Нужно ли мне защищать все мои страницы или только страницу входа ...

После того, как ваш сертификат будет включен для mydomain.com , каждая страница, подпадающая под *. Mydomain. com будет защищен.

4. Нужно ли мне защищать все мои страницы или только страницу входа ...

Просто держите страницу входа под https

, это гарантирует отсутствие накладных расходов при просмотре других страниц. условием является то, что вам необходимо указать правильные настройки аутентификации в веб-конфигурации. Это сделано для того, чтобы пользователи, которые не вошли в систему, не могли просматривать страницы, требующие аутентификации.