اطمینان از تنظیم SSL برای Forms Authentication (Scored)
Profile Applicability
• Level 1 – IIS 10
Description
احراز هویت Forms-based میتواند اطلاعات را در سرتاسر شبکه به صورت clear text جابجا کند. بنابراین ضروری است که ترافیک بین client و سرور با استفاده از SSL رمزگذاری شود، به خصوص در مواردی که سایت در دسترس عموم است. توصیه میشود برای ارتباطات با هر بخشی از سایت بوسیله فرمی که با SSL رمزگذاری شده استفاده شود.
نکته:
با توجه به آسیبپذیریهای امنیتی شناسایی شده، SSL دیگر توانایی کافی برای محافظت از اطلاعات حساس را ندارد و برای محافظت از آن استفاده نمیشود.
Rationale
نیاز به SSL در Forms Authentication ها باعث میشود که اطلاعات کاربر در حین پروسه login محرمانه بماند و ریسک دزدیده شدن اطلاعات کاربر را کاهش میدهد.
Audit
برای اینکه SSL را برای Forms Authentication در رابطه با یک سایت، اپلیکیشن یا محتوای خاص فعال کنید، در سطح Forms Authentication فعال شده، فایل web.config را جستجو و باز کنید. تگ forms requireSSL=”true” /: را verify کنید:
یا
برای verify کردن از طریق AppCmd.exe دستور زیر را وارد کنید:
یا
برای Verify کردن از طریق PowerShell دستور زیر را وارد کنید:
Remediation
1-IIS Manager را باز کنید و به ردیف مورد نظر بروید.
2-در Features View روی Authentication دو بار کلیک کنید.
3-در صفحه Authentication، Forms Authentication را انتخاب کنید.
4- در صفحه Actions، روی Edit کلیک کنید.
5- کادر انتخاب Requires SSL را در بخش تنظیمات کوکی بررسی کنید، روی OK کلیک کنید.
یا
دستور زیر را در AppCmd.exe برای پیکربندی وارد کنید:
یا
دستور زیر را در PowerShell برای پیکربندی وارد کنید:
Default Value
SSL هنگام فعال کردن Forms Authentication لازم نیست.
منابع:
technet.microsoft.com/en-us/library/cc771077(WS.10).aspx
مطالب این بخش برگرفته از مستند امن سازی وب سرور IIS مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.
