ویژگی های امنیتی ASP.NET

بررسی مختصر مساله امنیت در برنامه های ASP.NET در نحوه ارتباط آن با کاربر:

مقدمه:
امنیت یکی از مسائل اصلی برای توسعه دهندگان و معماران برنامه های کاربردی است. همانطور که تعداد بیشماری از سایتهای وب با انواع امنیت ها مورد نیاز است، توسعه دهندگان نیز باید بدانند چگونه با مقوله امنیت کار کنند و چه مدل امنیتی مناسبی برای برنامه های کاربردیشان انتخاب کنند.

بعضی از سایتهای وب اطلاعات خاصی را از کاربر معمولی دریافت نمی کنند، اما اطلاعات موجود در خود را منتشر می کنند. همانند موتورهای جستجو در حالیکه سایتهای دیگری وجود دارند که نیازمند جمع آوری اطلاعات حساس از کاربرانشان هستند (برای مثال شماره کارت های اعتباری و دیگر اطلاعات شخصی). این سایتهای وب به پیاده سازی امنیت مستحکم تری برای جلوگیری از حمله احتمالی موجودیت های خارجی نیازمندند.

تفاوت جریان امنیتی ASP و ASP.NET:
جریان امنیتی صفحات ASP.NET از جریان امنیتی ASP کلاسیک متفاوت است. در ASP، بصورت پیش فرض IIS خود را به عنوان یک کاربر معتبر معرفی می نماید در حالیکه در ASP.NET توسعه دهنده کنترل بیشتری بر روی تنظیم امنیت در سطوح مختلف را دارا می باشد.

عملیات اساسی امنیتی ASP.NET

Authentication: عبارت است از روند اعتباردهی هویت یک کاربر به پذیرفتن یا رد کردن یک درخواست، یعنی دریافت گواهی نامه ها (برای مثال نام کاربر و کلمه عبور) از کاربران و اعتبار دهی آن. بعد از اینکه هویت بررسی شد و معتبر تشخیص داده شد، کاربر بصورت قانونی مطرح می شود و درخواست های دسترسی به منابع انجام می شود. بصورت ایده آل درخواست های آتی همان کاربر تا هنگام خروج از سیستم مرتبط با روند Authentication نیست.

Authorization: عبارت است از روند تضمین نمودن اینکه کاربران با هویت های معتبر مجاز به دسترسی به منابع مشخصی هستند.

Impersonation: این روند یک برنامه کاربردی را قادر می سازد تا به نوبت هویت کاربر و درخواستهای بعدی او برای سایر منابع را تضمین کند. دسترسی به منابع متناسب با هویت کاربری که جایگزین شده است (Impersonated) تایید یا رد می گردد. به عبارت دیگر Impersonation یک پروسه سرویس دهنده (Server Process) را قادر می سازد تا با استفاده از امنیت گواهی نامه سرویس گیرنده ها (Client) اجرا شود.

آشنایی با Smart Navigation

این مقاله به توضیح مفهوم smart navigation(هدایت هوشمندانه!) و چگونگى استفاده از آن مى پردازد.
مفهوم Smart Navigation و فواید آن:
Smart Navigation یکى از بهترین ابزارهاى جدیدى است که ASP.NET آنرا عرضه کرده است. این ابزار جدید باعث شده ظاهر برنامه هاى وب و احساسى که نسبت به آن وجود دارد شباهت بیشترى با برنامه هاى عادى و نوشته شده براى ویندوز پیدا کند.

یکى از موانع بزرگ برنامه هاى تحت وب به معمارى و ساختار HTTP برمى گردد. جاییکه مجبوریم اطلاعات جمع آورى شده در سمت مشترى را به سرور بازگردانیم. به همین دلیل مجبور به رسم مجدد و کامل صفحه اى که قبلا دیده ایم مى باشیم، که این نه تنها باعث مى شود یک حالت فلش مانند در این رفت و برگشت و رسم مجدد رخ دهد، بلکه براى صفحه هاى بلند که براى دیدن تمام صفحه نیازمند بهScrolling هستیم، باعث مى شود که دیدمان را به اول صفحه انتقال دهد، چیزى که هم شاید دلخواه ما نباشد و هم اینکه ممکن است باعث سردرگمى کاربر گردد. همچنین این فرآیند باعث تغییر فوکوس کنترل ها و بسیارى از اتفاقات دیگرنیز مى شود.

در برنامه هاى عادى ویندوز ما به طور معمول فقط قسمت هایى از صفحه را به روز مى کنیم که تغییرى در آن ایجاد شده باشد یا تحت تاثیر چیزى قرار گیرند و این بدون نیاز به تغییر در کل برنامه مى باشد (مثلا فقط یک عضو به Listbox ما اضافه مى شود. بدون تغییر و رسم مجدد فرم برنامه).

Smart Navigation یا به عبارتى هدایت هوشمندانه این توانایى موجود در برنامه هاى ویندوز را براى برنامه هاى تحت وب فراهم مى کند! اما قبل از هر چیز باید بدانید که این ابزار فقط براى IE مى باشد و آن هم نسخه هاى 5 به بالاتر آن. با این وجود شما مى توانید Smart Navigation را فعال یا غیرفعال سازید، بدون آنکه تاثیرى در برنامه شما بگذارد. حتى اگر شما در پروژه تان مرورگرهاى محتلفى را مدنظر قرار داده باشید، مى توانید Smart Navigation را فعال سازید. در این صورت ASP.NET نوع مرورگر را تشخیص داده و Smart Navigation را فقط براى مرورگرهاى پشتیبانى شده فعال مى سازد.

چهار مورد برجسته اى که Smart Navigation فراهم مى کند عبارتند از:

1• صفحه در میان درخواست ها یک نمایش ممتد را داراست و به عبارتى حالت فلش زدن به خود نمى گیرد.
2• موقعیت Scroll را حفظ مى کند.
3• فوکوس عضو دارنده فوکوس را نگه مى دارد.
4• آخرین صفحه درون تاریخچه (History) نگهدارى مى شود.

این ابزار در حالت واقع گرایانه براى برنامه هایى که ارسال به عقب(!) Postback فراوانى دارند طراحى شده است ولى با توجه به این نکته که محتواى صفحه نباید زیاد تغییر نکند. احتمالا بنا به دلایل کارایى و نه اینکه در تغییرات زیاد ایرادى بهم بزند - مترجم. شاید یک چیز شگفت آور در مورد این ابزار این باشد که شما در حقیقت نیاز به نوشتن هیج کد و برنامه اى ندارید.

نحوه استفاده:
Smart Navigation درون هدایت کننده صفحه (Page directive : <%@ %>)، براى تنظیم یک صفحه و درون web.config براى تنظیم کل برنامه استفاده مى شود. براى تنظیم در Page Directive به صورت زیر عمل کنید:

<%@ Page SmartNavigation=true %>

و براى تنظیم در Web.Config از ساختار زیر استفاده نمایید:

<Configuration>
<System.web>
<Pages SmartNavigation=true />
</System.web>
</Configuration>

روش کار اینگونه است که کل صفحه بدرون یک فریم دورنى مخفى (Hidden Frame) بارگذارى (Load) مى شود و سپس فقط قسمت هاى تغییر کرده دوباره رندر(Render) مى شوند.

معماری فایل ASP.NET

آشنایی با انواع فایل و پسوندهای آنها در برنامه های کاربردی ASP.NET.
در عمل و ساختار برنامه های کاربردی ASP.NET از فایل های زیادی استفاده می شود. در ادامه فایل های تشکیل دهنده برنامه کاربردی ASP.NET را فهرست و نقش آنها در برنامه را خواهیم دید.

asax:
این پسوند برای فایل خاصی بنام Global.asax استفاده می گردد. این نوع فایل محتوی ترکیب نحوی رویداد برای نوشتن رویدادهای سطح برنامه کاربردی ASP.NET است. آن را می توان در دایرکتوری ریشه یک برنامه کاربردی ASP.NET پیدا کرد.

ascx:
این نوع فایل نمایانگر یک کنترل تعریف شده توسط برنامه نویس ASP.NET است (User Control). صفحات ASP.NET عموما از کنترلهای سرویس دهنده (کادرهای متنی، کادرهای فهرست، دکمه ها و غیره) تشکیل شده اند که عناصر اولیه صفحه وب را می سازند. ASP.NET درست مانند برنامه سازی مرسوم ویژوال بیسیک امکان ایجاد کنترلهای تعریف شده توسط برنامه نویس را فراهم می کند. این کنترل ها معمولا از ترکیب کنترل های سرویس دهنده و برنامه سازی برای انجام یک وظیفه یا مجموعه ای از وظایف بخصوص تشکیل می شوند.

asmx:
این پسوند برای سرویس های XML وب استفاده می گردد. این نوع فایل از سوی آن دسته از سرویس های وب میزبان مورد استفاه قرار می گیرد که از راه دور یا بطور محلی در معرض برنامه های کاربردی NET. هستند. سرویس وب موجودیتی قابل برنامه ریزی است که برای برنامه کاربردی یک عنصر خاص کارکرد معینی را تامین می کند.

aspx:
از این پسوند که اصلی ترین پسوند ASP.NET است برای فرم های وب و صفحات معمولی ASP.NET استفاده می گردد.

axd:
این نوع فایل مربوط به Tracing برنامه کاربردی ASP.NET است و به ASP.NET اجازه می دهد تا به جمع آوری اطلاعات درباره درخواستهای HTTP برای یک برنامه کاربردی بپردازد.

vsdisco:
این نوع فایل XML، لینک ها را در معرض منابع دیگری قرار می دهد که سرویس وب را توصیف می کنند. از فایل VSDISCO برای کشف سرویس های وب استفاده می شود که بطور عمومی موجود هستند.

htm:
فایل های معمولی از نوع HTML را در برمی گیرند.

xml:
این نوع سند XML مخصوص استفاده در برنامه های کاربردی ASP.NET است. این فایل XML برای مقاصد مختلفی استفاده می شود از جمله نگهداری اطلاعات برنامه کاربردی و نیز مجموعه داده های بازگشته از بانک اطلاعاتی.

vb:
این فایل شامل کد ویژوال بیسیک است که آن نیز به نوبه خود به یک فایل ASPX یا ASCX به ارث می رسد و کلیه عملیات برنامه ای مربوط به صفحات ASP.NET در آن قرار می گیرد. این نوع فایل اصطلاحا Code-Behind نیز نامیده می شود.

cs:
همانند پسوند vb. است اما بجای کد ویژوال بیسیک حاوی کد زبان #C است.

config:
پسوند فایل Web.Config است.این نوع فایل بر یک فایل پیکربندی دلالت دارد یعنی فایلی که از آن برای تعیین صفات مشخصه مختلف برنامه کاربردی استفاده می شود. این صفات مشخصه شامل تنظِمات اشکال زدایی(Debuging)، تائید امنیت(Authentication)، کارکرد پیگیری (Tracing)، نگهداری جلسه کاری (State Management) و عمومی سازی (Globalization & Localization) می شوند.