لماذا الافتراضي للحصول على خصائص Formsauthentication's PropertySSL FALSE!
https://stackoverflow.com/questions/1685502
-
18-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
ملاحظة: هذا ليس سؤال ASP.NET MVC يتعلق بسمة [Integle]. هذا مختلف تماما - فقط لديه نفس الاسم.
مصادقة أشكال ASP.NET لديها متخصص الممتلكات التي تتطلب أن يتم إرسال ملف تعريف ارتباط Auth Cookie لأعضاء ASP.NET عبر SSL فقط. هذا هو منع شخص من سرقة ملف تعريف الارتباط (مثل استنشاق الشبكة) وإنتحال المستخدم.
لذلك أنا أتساءل - مع جميع التغييرات الواعية الأمنية التي قدمت MS (مثل صنع ملفات تعريف الارتباط httponly. افتراضي) لماذا requireSSL لا تتعثر على true ?
هل تعتبر تشياك ملفات تعريف الارتباط مخاطر أمنية "إهمال"؟
هل تعتبر مخاطرة مقبولة في تركها كاذبة ما لم يسمح لي الاتصال بالوصول إلى البيانات الآمنة / الشخصية؟ إذا لم يكن مقبولا - كيف من المفترض أن أعيد مستخدم إلى HTTP وما زلت أعرف من هم؟
لمنع التقاط ملفات تعريف ارتباط مصادقة النماذج والالتعال مع عبور الشبكة، تأكد من استخدام SSL مع جميع الصفحات التي تتطلب الوصول للمصادقة وتقييد تذاكر مصادقة النماذج إلى قنوات SSL عن طريق الإعداد = "True" على العنصر.
لتقييد أشكال مصادقة ملفات تعريف الارتباط إلى قنوات SSL
تعيين متوفر = "صحيح" على العنصر، كما هو موضح في التعليمات البرمجية التالية.
من خلال إعداد Integreessl = "True"، يمكنك تعيين خاصية ملف تعريف الارتباط الآمنة التي تحدد ما إذا كان يجب على المتصفحات إرسال ملف تعريف الارتباط مرة أخرى إلى الخادم. مع مجموعة الممتلكات الآمنة، يتم إرسال ملف تعريف الارتباط بواسطة المتصفح فقط إلى صفحة آمنة مطلوبة باستخدام عنوان URL HTTPS.
ملاحظة: إذا كنت تستخدم جلسات Cookieless، فيجب عليك التأكد من أن تذكرة المصادقة لا تنتقل أبدا عبر قناة غير مضمونة.
المحلول
نظرا لأنك تحتاج إلى شهادة SSL إذا قمت بتشغيل ذلك، فإن هؤلاء يكلفون عادة ما يكتسبهم. يمكنك أيضا استخدام جلسات المتصفح للتحكم في المعلومات غير الآمنة - وفي بعض المواقع العامة التي قد تكون بالضبط كل ما تريد القيام به. في هذه الحالة، لا شيء يتم الكشف عن شخص حساس من قبل شخص يسرق ملف تعريف ارتباط جلسة لشخص آخر - فلماذا تذهب إلى تكلفة وإزعاج شراء وشهادة SSL وتثبيتها؟
