![[SPONSOR] 9NetWeb (Link Esterno)](http://www.webmasterpoint.org/sponsor/9netweb_120.gif)
![[SPONSOR] Aruba (Link Esterno)](/sponsor/aruba_90.gif)
![[SPONSOR] ConsultingWeb (Link Esterno)](/sponsor/consultingweb_120.gif)
Criptazione delle query string con ASP.NET
Una query string è solitamente un URL contenente dei parametri con relativi valori che il browser invia ad un'applicazione web (solitamente lato server). L'uso di tale tecnica per passare dati dal browser al server è piuttosto nota ed utilizzata. Tuttavia, concedere la possibilità agli utenti di modificare una query string "in chiaro", può costituire una minaccia alla sicurezza del vostro server.
Per questo motivo in quest' articolo si incoraggiano gli sviluppatori a criptare le query string, anche se queste non contengono dati confidenziali. Ovviamente ci sono ancora possibilità di modificare le query string, ma tramite un'appropriata gestione degli errori questa possibilità diviene innocua.
Per mantenere quest'articolo semplice, verrà usato l'algoritmo di criptazione DES, sebbene sia possibile sostituirlo facilmente con algoritmi più robusti.
Corsi online di WebMasterPoint.org:
Uno sguardo al codice
La parte principale della soluzione principale consiste in un modulo denominato HttpModule che decripta la query string e quindi soddisfa la richiesta del browser tramite un'ordinaria query string in chiaro:
Come potete aver notato, se c'è una query string criptata per la richiesta corrente, il modulo termina automaticamente l'esecuzione della pagina corrente e inizia internamente l'esecuzione di una nuova richiesta per il server.
Il prossimo passo consiste nel registrare il modulo HttpModule nel file web.config:
<httpModules>
<add name="CryptoQueryStringUrlRemapper"
type="SmartSoft.QueryStringEncryption.CryptoQueryStringUrlRemapper"/>
</httpModules>
Ultimo passo, non dobbiamo dimenticare di criptare le query string prima di spedirle indietro al server:
Come abbiam sottolineato in precedenza, la classe che gestisce la criptazione può essere facilmente rimpiazzara da una classe diversa con compito analogo.
N.B.: il metodo DecryptQueryStrings in CryptoQueryStringHandler contiene la seguente linea di codice:
return Encryption64.Decrypt(encryptedStrings.Replace(" ", "+"), key);
Per cause ignote, la richiesta rimpiazza ogni carattere '+' nella query con un carattere vuoto.
SCARICA IL CODICE (Licenza CPOL).
- Sms installa virus e intercetta telefonate e sms dei cellulari. Indagini in tutta Italia e 2 denunce
Controllare il traffico telefonico dei cellulari e dei messaggini spediti appare alquanto più semplice e nello stesso apre scenari inquietanti: secondo le ultime indagini della Polizia Postale basterebbe, infatti, un sms truffaldino.
- Nuovo linguaggio programmazione Microsoft: si chiamerà M e sarà l'evoluzione del C++.Caratteristiche
- Facebook in Italia: buon successo per la festa di Roma. Il racconto dell'avvenimento
- Instant Messenger e chat più usate. Numerosi programmi da installare anche sui cellulari.
- ADSL nei comuni non raggiunti: 1500 nuove città avranno collegamento Internet con British Telecom
- Navigatore satellitare gps su cellulare, computer e qualsiasi apparecchio elettronico con Firefox e Geode
Localizziamo la nostra posizione in modo semplice ed economico grazie a questa estensione per Firefox - Adattare il sito attuale ad iPhone, senza creare una versione dedicata con contenuti duplicati grazie ai Media dei CSS
- UAC in Windows 7 sarà migliore rispetto a Vista: le modifiche previste
- Script Php e Asp blog, e-commerce, paypal e database
- Certificazioni informatiche: una nuova alternativa alla patenta europea/Ecdl proposta dall'Università di Firenze
Stampa Pagina
Info sull'autore
ICQ
EMAIL
DISCUTI DI QUESTA LEZIONE SUL FORUM![[SPONSOR] eDomain (Link Esterno)](http://www.webmasterpoint.org/sponsor/edomain_120.gif)
![[SPONSOR] Rubalo.it](/sponsor/rubalo_120.gif)
![[SPONSOR] MisterDomain.eu (Link Esterno)](http://www.webmasterpoint.org/sponsor/misterdomain.gif)