- Wagner Elias – Think Security First - http://wagnerelias.com -
View-State and ASP.NET Security
Posted By Elias Wagner On 3 03UTC February, 2009 @ 10:27 am In Security Developer | No Comments
Há muito tempo atrás eu fui questionado por um cliente ao mencionar que o view-state de uma aplicação dele estava expondo informações sensíveis. A justificativa dele é que isso era um comportamento padrão do ASP.NET. Ele tinha razão, o ASP.NET depende muito do view-state e cria um campo HIDDEN onde dados são armazenados na sessão.
Na situação eu recomendei que pelo menos ele utilizasse recursos para criptografar [1] os dados mantidos na View-State.
Um problema do View-State é o mal uso dele, muitos desenvolvedores sem saber dos riscos acabam armazenando muitos dados na sessão usando o recurso. Com isso, além de causar problemas de performance, ele pode expor dados confidenciais, pois os dados podem ser visualizados usando ferramentas que decodifiquem o view-state. [2]
A boa notícia é que segundo um post no InfoQ [3], o ASP.NET vai depender menos do view-state e se estuda a possibilidade dele vir desabilitado por default. De qualquer maneira, cuidado com o view-state em aplicações desenvolvidas em ASP.NET.
Article printed from Wagner Elias – Think Security First: http://wagnerelias.com
URL to article: http://wagnerelias.com/2009/02/03/view-state-and-aspnet-security/
URLs in this post:
[1] utilizasse recursos para criptografar: http://msdn.microsoft.com/en-us/library/ms972976.aspx
[2] usando ferramentas que decodifiquem o view-state.: http://www.pluralsight.com/community/media/p/51688.aspx
[3] post no InfoQ: http://www.infoq.com/br/news/2009/02/ASP-4-View-State
Click here to print.
Copyright © 2007 Wagner Elias - Think Security First | BCP, BIA, DRP, Security Assessment, Risk Assessment, Security Developer. All rights reserved.