Asp.net 表单身份验证是否需要SSL？

我是一名使用表单身份验证的ASP.NETWeb应用程序的开发人员。 根据我的经验，我一直在使用SSL根据权限保护网页的环境中工作。 在我的新公司里，我的经理问我是否需要SSL，我们可以不用它吗。 我们正在为应用程序使用专用网络，预计不会有任何重型黑客。 但是，权限保护网页不受未授权用户的攻击是很有用的

---

那么解决这个问题的最佳方法是什么呢？

这取决于您的安全需求：-）

如果您信任所有能够访问网络的人（包括清洁人员和外部承包商），不安装嗅探软件，不使用他们嗅探到的密码和个人数据做坏事，那么您可以不使用TLS。否则你需要它。这由您的经理决定。

如果它是一个私有网络（即内部网，每个人都是“受信任的”），那么就像@sleske提到的，您不必为任何事情使用SSL

话虽如此，我的问题是，经理不在有意义的地方使用SSL的理由是什么？如果需要成本，那么您可以拥有自己的（公司）CA，而不是使用商业CA。我工作过的大多数地方都在其中一台服务器上设置了CA（VeriSign或其他常用CA可能信任该CA，也可能不信任该CA），该CA用于向内部web服务器颁发证书。域上的所有计算机都已设置为信任公司的内部CA

就页面/内容的SSL/权限保护而言：

---

SSL保护与保护页面的“权限”是一个单独的主题。SSL只是对来自客户端（浏览器）和服务器的http流量进行加密。保护您的页面取决于您使用权限和检查用户是否经过身份验证，这方面的机制不会因（不）使用SSL而改变。

到目前为止，我一直在使用内置的FA控件和数据库。我还能用吗？或者我必须做一些代码更改吗？对不起，我对ASP.Net了解不够，无法提供帮助。但我希望标准FA控件支持sing TLS，因为这是一个非常常见的特性。