Sigurnost je široka tema koja zahtjeva neprekidnu pozornost i opreznost, i često treba kompromise u terminima uporabljivosti i jednostavnog održavanja. Naš cilj u mojoPortal-u je ponuditi sigurnosne sadržaje koji vam dopuštaju da donesete odluke kada je kompromis potreban. Ovisno o samoj prirodi stranice (od osobnog web sitea do bankovne aplikacije), stupanj tražene sigurnosti varira.
Šifriranje lozinke
Smatra se sigurnijim spremiti lozinke baze podataka u šifriranom obliku, no onda nećete moći e-mailati korisnikovu lozinku ako je zaboravi, nego ćete je morati resetirati, a prije toga nekako ćete morati verificirati da je to upravo taj korisnik koji je zatražio pomoć. Ako pokušate naći problem koji korisnik ima, nekad pomaže ako se ulogirate kao on i vidite ono što i on vidi. Zbog ovakvih stvari čini se boljim da u nekim slučajevima ne šifrirate lozinke u bazi podataka. U donošenju takvih odluka uzmite u obzir potrebu sigurnosti određene stranice, koja ima fizički pristup bazi podataka i mogućnost da netko hakira bazu podataka i ukrade lozinke, te prirodu posljedica kada je sigurnost prekršena.
U mojoPortal-u možete konfigurirati na Admin stranici bez obzira jesu li lozinke spremljene kao šifrirane ili ne. Ovo nije postavka koju želite mjenjati svako malo, ako započnete bez šifriranja i zatim promjenite u zahtjev šifriranja, trebat ćete isključiti sve vaše postojeće korisnike, dok ne šifrirate njihove lozinke. Ako su lozinke šifrirane morat ćete verificirati da je korisnik koji zahtjeva da njegova lozinka bude resetirana stvaran korisnik, a nakon toga se možete ulogirati kao Admin i promjeniti korisnikovu lozinku i proslijediti mu je. Ako konfigurirate mojoPortal da ne šifrira lozinke onda ovo obilježje postaje automatski dostupno korisniku koji zatraži da mu lozinka bude poslana na važeću e-mail adresu.
Šifriranje komunikacije između servera i preglednika
SSL šifriranje se može koristiti za zaštitu nekog određenog ili cjelokupnog sadržaja poslanog naprijed–nazad između preglednika i servera. Kako bi koristili SSL, morate imati instaliran certifikat servera i konfiguriran na serveru. Moguće je napraviti vaš vlastiti SSL certifikat ili nabaviti onaj iz povjerljivog autoriteta za certificiranje. Nabava i instaliranje SSL certifikata je izvan opsega ovog dokumenta, no postoji puno izvora na webu koji vam mogu pomoći. Ako imate instaliran i konfiguriran SSL certifikat na vašem serveru, trebali biste podesiti SSLIsAvailable postavku u Web.config datoteci kao istinitu. To će učiniti da prijava, registracija i stranice korisnikovog profila automatski koriste i zatraže SSL. Kao dodatak, vidjet ćete opciju na Admin stranici za zahtjev da sve stranice na siteu koriste SSL. Ako provjerite ovo kućište, SSL će biti sproveden na svakoj stranici sitea. Ako ostavite prostor za provjeru (checkbox) neprovjerenim, vidjet ćete postavku na svakoj postavki stranice od stranice (page setting) bilo da ste zatražili SSL za stranicu. Dakle imate vrlo granularnu kontrolu nad tim koja stranica će zatražiti šifriranje.
Prevencija lažne registracije
Ako želite izbjeći lažne e-mail adrese za registraciju na vašu stranicu, provjerite kućište na Admin stranici označenu "Require E-mail Confirmation for Registration" i korisnicima će biti poslana e-mail poruka sa linkom kako bi potvrdili svoj korisnički račun. Oni se neće moći ulogirati dok se račun ne potvrdi.
Sigurnost s obzirom na funkcije
Za svaku stranicu na mojoPortal web siteu, možete podesiti koje funkcije se mogu vidjeti ili urediti stranicu. Svi korisnici su članovi "Authenticated Users" grupe, što olakšava konfiguraciju stranice koju svi koji se ulogiraju mogu vidjeti, no ne i anonimni korisnici. Na primjer, na ovaj način smo mogli osigurati stranicu Download i zatražiti od svakog korisnika da se ulogira prije nego što bude u mogućnosti downloadati. No umjesto toga, mi želimo promovirati korištenje mojoPortal-a. Kako bi osigurali datoteke, mogli smo upotrijebiti Shared Files module radije nego da se koristimo linkovima direktno na datotekama. Vidite dokument na Shared Files modulu
za više informacija o tome kako osigurava datoteke.
Možete kreirati dodatne funkcije i imati vrlo granularnu kontrolu nad tim koje funkcije mogu vidjeti ili urediti bilo koju određenu stranicu. Vidite stranicu funkcija i dopuštenja za više informacija.