我必须为一家公司建立一个小型网络应用程序来维护他们的业务数据...只有公司内部的人会使用它,但我们计划将其托管在公共领域,以便员工可以从不同的位置连接到应用程序.(到目前为止,我已经构建了只在内部托管的web应用程序)
我想知道我是需要使用安全连接(Https)还是仅使用表单身份验证就足够了.
如果你说https,我有一些问题:
我在网上搜索答案,但我没能得到所有这些分数……任何白皮书或其他参考资料也会有所帮助.
如果需要更多信息,请随时询问.
谢谢
我应该做什么来准备我的网站
你应该记住安全编码的最佳实践(这里有一个很好的介绍:http://www.owasp.org/index.php/Secure_Coding_Principles),否则你只需要一个正确设置的SSL证书.
SSL和HTTPS是一回事吗?
差不多,是的.
我需要向某人申请才能获得
您可以从证书颁发机构购买SSL证书,也可以使用自签名证书.你可以买到的价格差别很大,一年从10美元到数百美元不等.例如,如果你开了一家网店,你就需要一个这样的东西.对于内部应用程序,自签名证书是一个可行的 Select .您也可以将其中之一用于开发.这里有一个很好的教程,介绍如何为IIS:Enabling SSL on IIS 7.0 Using Self-Signed Certificates设置自签名证书
我需要确保我所有的页面安全吗
对所有内容使用HTTPS,而不仅仅是初始用户登录.这不会带来太大的开销,这意味着如果用户从远程托管的应用程序发送/接收的数据被拦截,外部各方将无法读取这些数据.甚至Gmail现在也默认使用HTTPS.