Реклама:

■ Реализуйте логику защиты. Убедитесь, что ваш код надежен и полностью протестирован.

■ В случае использования провайдера ролей он может вызываться в каждом запросе, так что избегайте долго выполняемых задач.

■ Обдумайте контексты защиты и проанализируйте влияние на ваш проект олицетворения ASP.NET. Практически всегда лучше получать доступ к ресурсам изнутри провайдера, используя идентификатор процесса или приложения. Если олицетворение включено, вам нужно временно вернуться к маркеру процесса.

» Если нужно, чтобы наш провайдер работа;! как встроенный, следуйте правилам шаблона проектирования провайдеров Microsoft, в которые включены принципы анализа информации о конфигурации, правила запуска событии и исключительных ситуаций. В качестве шаблона используйте пример реализации для Microsoft Office Access.

• Убедитесь, что создаваемые элементы поместятся в шаблон провайдера, Если вам нужно обеспечить функциональность, отличную от функциональности, предоставленной стандартными интерфейсами, вы можете создать библиотеку, полностью соответствующую вашим потребностям, а не пытаться «обучить старый провайдер новым трюкам».

Резюме

Службы на основе провайдеров — это функциональные контейнеры с конфигурируемыми реализациями, загружаемыми во время рабочего цикла. Если один из интерфейсов соответствует вашим потребностям, провайдеры могут существенно сократить объем кода, который нужно написать, и модернизировать периодические задачи, например управление пользователями и аутентификацию. Кроме того, провайдер членства обеспечивает хорошую защитную базу, сохраняя пароли и ответы на секретные вопросы в хэше с вложенным телом sail. Этот принцип гораздо лучше, чем использование кода хранилища мандатов, наподобие тех, которые можно видеть во Время аудиторских проверок защиты. Вместе с тем, если провайдер не обеспечивает требуемой функциональности, вы можете написать специализированную библиотеку (или службу на основе провайдера) и отказаться от использования интерфейсов встроенных провайдеров.

Глава 7

Регистрация ошибок и средства контроля

В этой главе:

■ Обработка ошибок

■ Средства регистрации и контроля

■ Health Monitoring Framework

К сожалению, создать полностью защищенное приложение невозможно. Злоумышленник всегда найдет в нем слабые места. Вот почему, например, производители сейфов классифицируют изготовленные модели, указывая время, в течение которого последние могут противостоять взлому. Например, ТЗО означает, что для взлома сейфа требуется около 30 мин, но если будет применена контрмера, например охрана, проверяющая состояние сейфа каждые 15 мин, то защита будет усилена.

Сказанное относится и к программному обеспечению. Вам нужна некая система наблюдения, которая бы выполняла определенные действия по противостоянию атакам. До сих пор я рассматривал только превентивные технологии. Защита программного обеспечения и управление им основаны на трех столпах:

■ предотвращении;

■ обнаружении; « реагировании.


⇐ Предыдущая страница| |Следующая страница ⇒