Gestern, 17.01.2007, habe ich an einem Webcast von Dominick Baier (http://www.leastprivilege.com) zum Thema "Security mit ASP.NET 2.0" teilgenommen. Dieser Webcast ist Teil einer Serie und der Schwerpunkt der gestrigen Veranstaltung war "Authentifizierung und Autorisierung". Für ASP.NET Entwickler, die schon mit ASP.NET 1.1 gearbeitet haben, keine großen neuen Erkenntnisse. Einige Kleinigkeiten möchte ich dennoch als Ergebnisse und als Gedankenstütze hier festhalten:

• Die Sicherheitsmechanismen von ASP.NET schützen nur Webinhalte, die auch von ASP.NET verwaltet werden. Statische Inhalte wie HTML Dateien, Grafiken oder Dokumente werden standardmäßig vom IIS direkt ausgeliefert. Folglich fallen diese Dateitypen nicht unter die Sicherheitsmechanismen von ASP.NET.
  
  Sollen diese Dateien dennoch geschützt werden, müssen im IIS entsprechende Mappings (Wildcard-Mapping in Windows Server 2003) konfiguriert werden. Hierbei kann es dann aber Einbußen in der Performance geben.
  
  
• ASP.NET verwendet verschiedene Authorization Provider (je nach Bedarf), die als Module in der Verarbeitungs-Pipeline registriert sind. Zu allen diesen Providern ist der Quellcode bei Microsoft erhältlich: http://download.microsoft.com/download/a/b/3/ab3c284b-dc9a-473d-b7e3-33bacfcc8e98/ProviderToolkitSamples.msi
  
  
• Forms Authentication kann über Applikationsgrenzen (z.B. für zwei getrennte Webapplikationen) auf dem gleichen Server verwendet werden (-> SSO). In diesem Fall muss bei allen Applikationen in der web.config ein identischer <machineKey> Tag vorhanden sein.
  
  
• Mit den neuen Membership Providern von ASP.NET 2.0 existieren nun einheitliche Schnittstellen für Authentifizierungsmechsnismen, so dass diese ohne Änderung des Quellcodes austauschbar sind. Standardcontrols, wie das neue asp:Login Control verwenden den in der web.config konfigurieren Membership Provider.

Soweit fürs Erste. Am 29.1.2007 hält Dominick Baier den zweiten Teil dieser Serie. Bis dahin...