ASP.NET 2.0 Internet安全之参考实现

微软刚推出了一个ASP.NET 2.0 Internet 安全之参考实现( ASP.NET 2.0 Internet Security Reference Implementation)。这是个配有全部编码和指导性文档的样本应用，其宗旨是示范在实际应用中如何应用“模式和实践之安全向导”中的最佳实践。这个应用是从Pet Shop 4发展而来，使之适用于Internet。该应用使用了表单认证，用户和角色数据是储存在SQL数据库里的。

该应用可以在其官方网站上下载：

ASP_NET 2_0 Internet Security Reference Implementation: Home
http://www.gotdotnet.com/codegallery/codegallery.aspx?id=48f35de8-cd92-4ac6-9144-12d5a13f22ff

下载的内容包括三部分
1。VS 2005方案和编码
2。Internet 安全参考实现的指导性文档
3。场景(Scenario)和方案文档

在安全参考实现的指导性文档里，涉及的设计决策包括下述分类
1。认证
2。授权
3。输入和数据验证
4。数据访问
5。异常管理
6。敏感数据(Sensitive Data)
7。审记和日志记录(Auditing and Logging)

在每个分类里又具体列出了详细的设计决策，譬如，在认证方面，要做的决定包括
1。使用表单认证
2。使用SQL成员提供器
3。使用SSL来保护身份验证信息和认证cookies
4。不直接存储明文密码
5。强制使用安全性强的密码
6。保护对身份验证信息存储的访问
7。不除久认证cookies
8。在认证cookies上设置HttpOnly
9。使用独特的cookie名字和路径

对每一个决定，又详细列出
1。是怎么实现的
2。这么做的原因
3。好处
4。缺点
5。相关资源

涉及的方面很多，内容非常全，是一个学习设计/实现安全Web应用的好范例