¿Qué amenazas tiene una aplicación web sin estado? (a diferencia de las sesiones de estado completo)

Navega tus respuestas
2

Estoy comparando las ventajas y desventajas de tener una sesión MVC de ASP.NET "sin estado" autenticada versus una aplicación de formularios ASP.NET con estado de vista.

Suponiendo que hay un webfarm de más de 1 servidor web detrás de un equilibrador de carga:

  

  1. ¿Qué amenazas tendría una aplicación sin estado que una aplicación tradicional "consciente del estado" no tiene?

    2.   

  2. Si hay una diferencia, ¿cuáles son los riesgos?

    3.   

  3. ¿Qué debo hacer con mi aplicación MVC sin estado para mantener una seguridad comparable? (Estoy pensando en las opciones en un NetScaler con respecto a la afinidad de la sesión)

    4.   
    
pregunta random65537 09.11.2011 - 15:00
fuente

1 respuesta

2

Ciertos ataques de DOS son posibles con un número menor de clientes que se comportan mal cuando es impredecible qué máquina real atenderá una solicitud en particular.

  1. Envíe una serie de mensajes que hagan que los fragmentos receptores obtengan los datos en la memoria y que se encuentren en la mayoría de los elementos residentes.
  2. Cambia para enviar una serie de mensajes que hacen que los fragmentos de recepción obtengan un conjunto diferente de datos en la memoria, buscando lo que sea que haya sido recuperado por 1.
  3. Repetir.

Cuando la asignación de mensajes a fragmentos es aleatoria o en su mayoría aleatoria, un número menor de atacantes puede explotar la aleatoriedad para dosificar un grupo de máquinas si un conjunto alternativo de mensajes puede hacer que esos fragmentos pasen la mayor parte del tiempo llenando cachés. en lugar de manejar solicitudes.

Con un sistema con estado que se basa en el ID de sesión, debe poder crear sesiones de forma económica o tener un gran número de atacantes que puedan mantener una sesión costosa.

Obviamente, para ciertas aplicaciones puede ser posible definir un sistema sin estado que no cambie al disco.

    
respondido por el Mike Samuel 09.11.2011 - 19:24
fuente

Lea otras preguntas en las etiquetas

Protección de iPads y laptops en una empresa Cómo usar los detalles de inicio de sesión para hacer una clave para el cifrado y descifrado AES