.NET Framework merupakan lingkungan kerja untuk memudahkan pengembangan dan eksekusi berbagai bahasa pemrograman dan kumpulan library agar dapat bekerja sama dalam menjalankan aplikasi berbasis Windows. Keamanan ditangani dengan mudah oleh CLR di .NET Framework melalui verifikasi awal kode dan kontrol akses sumber daya. Model keamanan .NET memiliki enam area utama termasuk jenis keamanan, penandatanganan kode, layanan kriptografi, keamanan
2. .Net Framework merupakan suatu lingkungan kerja
untuk memudahkan pengembangan dan eksekusi
berbagai macam bahasa pemrograman dan
kumpulan library agar dapat bekerja sama dalam
menjalankankan aplikasi berbasis Windows.
Keamanan ditangani dengan mudah oleh CLR di.NET Framework. Pengembang dapat menggunakan dan
memperpanjang keamanan VB.NET kapan saja. Keamanan, bagian penting dari .NET Framework, dimulai
segera setelah kelas dimuat di area memori VBb.NET runtime.
Kerangka kerja melakukan banyak pemeriksaan verifikasi awal untuk memastikan kode tersebut
mengakses memori dengan cara yang terkendali. Kemudian kerangka kontrol kode akses ke sumber
daya melalui keamanan akses kode.
3. Model keamanan .NET Framework memiliki enam area utama:
1.Jenis keselamatan dan verifikasi, yang memastikan bahwa kode mengakses memori
dengan cara yang terkendali.
2.Penandatanganan kode, yang memastikan bahwa kode tersebut tidak dirusak setelah
dibebaskan dengan menetapkan identitas untuk kode.
3.Layanan kriptografi dan penandatanganan data, yang melindungi data aplikasi.
4.Keamanan akses kode, yang berdasarkan identitas dan asal pemanggil, memberikan izin
untuk mengakses sumber daya.
5.Keamanan berbasis peran, yang mengendalikan akses kode berdasarkan identitas
pengguna.
6.Penyimpanan terisolasi, yang bertahan data dengan cara yang aman di komputer klien.
4. Pembahasan
• Aliran Keamanan dengan
permintaan
• Pengaturan konfigurasi
• Layanan Otentikasi
• Layanan Otorisasi
• Basis peran keamanan
• Cara memeriksa identitas
keanggotaan (Role)
• Cara membatasi akses
5. ASP.NET memberikan lebih banyak kontrol untuk menerapkan
keamanan untuk aplikasi. Keamanan ASP.NET bekerja sama
dengan layanan informasi Internet (IIS) Microsoft keamanan
dan mencakup layanan otentikasi dan otorisasi untuk
menerapkan model keamanan ASP.NET.
6. Aliran keamanan dengan permintaan
Langkah-langkah berikut ini menjelaskan urutan peristiwa ketika klien membuat permintaan:
1. Klien meminta halaman .aspx yang berada di IIS server.
2. Klien permintaan diteruskan ke IIS.
3. IIS mengotentikasi klien dan meneruskan pengiriman diotentikasi bersama dengan
permintaan klien ke proses pengerjaan ASP.NET.
7. Pengaturan konfigurasi
IIS mempertahankan pengaturan konfigurasi terkait keamanan
di IIS metabase. Namun, ASP.NET menjaga keamanan (dan
lainnya) pengaturan konfigurasi di berkas konfigurasi
Extensible Markup Language (XML).
Meskipun ini umumnya menyederhanakan penyebaran
aplikasi dari sudut pandang keamanan, model keamanan yang
mengadopsi aplikasi yang kita gunakan memerlukan
konfigurasi benar baik IIS metabase dan aplikasi ASP.NET
melalui berkas konfigurasinya (Web.config).
8. Lanjutan..
System.Web Element
Unsur system.web menentukan elemen root
untuk bagian konfigurasi ASP.NET dan
mengandung unsur konfigurasi yang
mengkonfigurasi aplikasi Web ASP.NET dan
mengontrol bagaimana aplikasi berperilaku.
Ini memegang sebagian elemen konfigurasi
yang diperlukan untuk disesuaikan dalam
aplikasi umum. Sintaks dasar untuk elemen
tersebut seperti yang diberikan
Cara mengkonfigurasi kebijakan
keamanan, sintaks dasar adalah:
<securityPolicy>
<trustLevel />
</securityPolicy>
<system.web>
<anonymousIdentification>
<authentication>
<authorization>
<browserCaps>
<caching>
<clientTarget>
<compilation>
<customErrors>
<deployment>
<deviceFilters>
<globalization>
<healthMonitoring>
<hostingEnvironment>
<httpCookies>
<httpHandlers>
<httpModules>
<httpRuntime>
<identity>
<machineKey>
<membership>
<mobileControls>
<pages>
<processModel>
<profile>
<roleManager>
<securityPolicy>
<sessionPageState>
<sessionState>
<siteMap>
<trace>
<trust>
<urlMappings>
<webControls>
<webParts>
<webServices>
<xhtmlConformance>
</system.web>
Terletak pada
Web.config
9. Layanan Otentikasi
Otentikasi adalah proses yang Anda mendapatkan identifikasi
kredensial seperti nama pengguna dan sandi dan memvalidasi
kredensial terhadap beberapa otoritas.
ASP.NET menyediakan empat penyedia otentikasi:
1.Otentikasi formulir
2. Otentikasi Windows
3.Otentikasi paspor
4.Otentikasi default
5. ISS Otentikasi
10. 1. Otentikasi formulir
Otentikasi formulir adalah sistem yang tidak terauthentikasi permintaan
akan diarahkan ke bentuk HTML menggunakan HTTP pengalihan sisi
klien.
Setelah pengguna menyediakan kredensial dan mengajukan bentuk,
aplikasi mengotentikasi permintaan, dan sistem masalah otorisasi tiket
dalam bentuk cookie. Cookie ini berisi kredensial atau kunci reacquire
identitas. Berikutnya permintaan dari browser secara otomatis
memasukkan cookie.
11. Lanjutan..
Secara bawaan, otentikasi formulir melindungi hanya halaman ASPX dan ekstensi .NET lainnya.Kita dapat
mengkonfigurasi otentikasi formulir untuk melindungi ekstensi statis lainnya seperti .jpg, .gif, .html, .pdf, dll.
Untuk melakukannya, peta ekstensi ini untuk aspnet_isapi.dll menggunakan Manajer IIS sebagai berikut:
Manajer IIS terbuka. Untuk melakukannya :
Klik mulai, klik File Program, arahkan ke Alat administratif, dan kemudian klik Manajer Layanan informasi
Internet.
• Temukan folder virtual aplikasi Anda, dan klik kanan (aplikasi Anda harus mengaktifkan otentikasi formulir).
• Klik Properti.
• Klik Konfigurasi.
• Pada tab pemetaan , klik Tambahkan.
• Di kotak yang dapat dijalankan , klik aspnet_isapi.dll, yang terletak di map % windows
folder%Microsoft.NETFrameworkFrameworkVersion.
• Di kotak ekstensi , ketik ekstensi (misalnya, .jpg).
• Memberikan kata kerja "Mendapatkan" di setidaknya.
• Klik untuk mengosongkan kotak centang Periksa berkas yang ada.
• Klik OK untuk sisa kotak dialog.
12. 2. Otentikasi Windows
ASP.NET menggunakan otentikasi Windows bersama-sama dengan
otentikasi layanan informasi Internet (IIS) Microsoft.
Otentikasi akan dijalankan oleh IIS di salah satu dari tiga cara: dasar,
ringkasan, atau otentikasi Terpadu Windows.
Ketika IIS otentikasi telah selesai, ASP.NET menggunakan identitas
diotentikasi untuk mengizinkan akses.
Keuntungan menggunakan otentikasi Windows yang memerlukan
minimal pengkodean.
13. 3. Otentikasi Paspor
Otentikasi paspor adalah terpusat Layanan otentikasi, yang menyediakan
Microsoft, yang menawarkan logon tunggal dan layanan inti profil untuk
anggota situs.
Biasanya, otentikasi paspor digunakan ketika Anda membutuhkan satu
login kemampuan banyak domain.
14. 4. Otentikasi Default
Otentikasi default digunakan ketika Anda tidak ingin keamanan apa pun
pada aplikasi Web Anda; akses anonim diperlukan untuk penyedia
keamanan ini.
Di antara semua otentikasi penyedia asali otentikasi memberikan kinerja
maksimum untuk aplikasi Anda. Penyedia otentikasi ini juga digunakan
ketika Anda menggunakan modul keamanan kustom Anda sendiri.
16. 5. ISS Otentikasi
Kekuatan Deskripsi
40 bit Didukung oleh kebanyakan browser tapi mudah untuk istirahat.
56 bit Lebih kuat dari 40-bit.
128 bit Sangat sulit untuk istirahat tetapi semua browser tidak mendukungnya.
Secure Socket Layer atau SSL adalah protokol yang digunakan untuk memastikan koneksi yang aman. Dengan
SSL diaktifkan, browser mengenkripsi semua data yang dikirim ke server dan mendekripsi semua data yang
berasal dari server. Pada saat yang sama, server mengenkripsi dan mendekripsi semua data ke dan dari browser.
URL untuk koneksi aman dimulai dengan HTTPS bukan HTTP. Sebuah kunci kecil yang ditampilkan oleh browser
menggunakan koneksi aman. Ketika browser merupakan usaha awal untuk berkomunikasi dengan server melalui
sambungan aman menggunakan SSL, server mengotentikasi sendiri dengan mengirimkan sertifikat digital.
Untuk menggunakan SSL, Anda perlu membeli sertifikat aman digital dari Otoritas Sertifikasi dipercaya (CA) dan
menginstalnya di web server.
Berikut ini adalah beberapa otoritas sertifikasi terpercaya dan terkenal:
•www.verisign.com
•www.geotrust.com
•www.thawte.com
SSL dibangun ke semua browser utama dan server. Untuk mengaktifkan SSL, Anda harus menginstal sertifikat
digital.Kekuatan berbagai sertifikat digital bervariasi tergantung pada panjang kunci yang dihasilkan selama
enkripsi. Lebih panjang, lebih aman adalah sertifikat, maka sambungan.
17. Otorisasi adalah proses yang memverifikasi jika pengguna yang diotentikasi memiliki akses ke sumber
daya yang diminta.
ASP.NET menawarkan penyedia otorisasi berikut ini:
FileAuthorization
Kelas FileAuthorizationModule menjalankan file otorisasi dan aktif ketika Anda menggunakan Windows
otentikasi. FileAuthorizationModulebertanggung jawab untuk melakukan pemeriksaan Windows daftar
kontrol akses (ACL) untuk menentukan apakah pengguna harus memiliki akses.
UrlAuthorization
Kelas UrlAuthorizationModule melakukan otorisasi Uniform Resource Locator (URL), yang mengontrol
otorisasi berdasarkan URI namespace. Ruang nama URI dapat berbeda dari fisik jalur file dan folder
yang menggunakan izin NTFS.
UrlAuthorizationModule menerapkan kedua pernyataan positif dan negatif otorisasi; yaitu, Anda dapat
menggunakan modul untuk selektif Izinkan atau Tolak akses ke bagian sembarang URI namespace
pengguna, peran (seperti manajer, penguji dan administrator) dan kata kerja (seperti request dan
posting).
18. Basis Peran Keamanan
Basis peran keamanan ASP.net mirip dengan berbasis peran keamanan
Microsoft COM + dan penggunaan Microsoft Transaction Server (MTS),
meskipun ada perbedaan penting. Basis peran keamanan ASP.net tidak
dibatasi ke account Windows dan grup.
Misalnya, jika Windows otentikasi dan peniruan diaktifkan, identitas
pengguna adalah identitas Windows
(User.Identity.Name = "Domainusername")
Anda dapat memeriksa identitas keanggotaan dalam peran tertentu
dan membatasi akses sesuai.
19. Cara memeriksa keanggotaan
Menyimpan sandi dan string sambungan
Secara default, menyimpan rangkaian sambungan atau identitas pengguna menyamar dalam Web.Config,
atau menyimpan identitas proses di Machine.config, meminta Anda memasukkan nama pengguna dan
sandi dalam teks kosong.
20. Cara membatasi hak akses
Keamanan akses kode adalah model kendala sumber daya yang dirancang untuk membatasi jenis sumber daya
Sistem yang dapat mengakses kode dan jenis pemegang operasi yang dapat menjalankan kode. Pembatasan ini
bersifat independen dari pengguna yang memanggil kode atau akun pengguna yang menjalankan kode.
Keamanan akses kode memberikan tiga manfaat utama. Dengan menggunakan kode akses keamanan, Anda
dapat:
1. Membatasi kode apa yang dapat Anda lakukan
2. Membatasi kode yang dapat memanggil kode Anda
3.Mengidentifikasi kode