ملف تعريف الارتباط العام ASPXauth والأمن
https://stackoverflow.com/questions/2473119
-
20-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
نظرًا لوجود خطأ في Flash ، يجب أن أستخدم ملف تعريف الارتباط ASPXAUTH لتسجيل مستخدم في صفحة يقوم بها برنامج التحميل البرمجي للمكالمات بعد التحميل. انظر هذه الصفحة لمزيد من المعلومات: http://geekswithblogs.net/apopovsky/archive/2009/05/06/working-around-flash-cookie-bug-in-asp.net-mvc.aspx
يجب أن أجعل سلسلة ASPXAUTT "عامة" بمعنى أنها ستكون في HTML من الصفحة. سؤالي هو ، ما مدى أمان هذا؟
أتفهم أن أي شخص يمكنه الوصول إلى السلسلة في HTML يمكن أن يصل إليه من ملف تعريف الارتباط بنفس السهولة ، ولكن دعنا نقول أن شخصًا ما لديه سلسلة ASPXAUTH هذه. هل من الممكن أن يتمكنوا من تسجيل الدخول كمستخدم آخر يستخدم ملف تعريف الارتباط هذا؟ هل سيكونون قادرين على فك تشفيره؟
بارا
المحلول
يمكن فك تشفير قيمة ملفات تعريف ارتباط مصادقة النماذج إذا حصل الطرف الثالث على مفتاح فك التشفير الذي يستخدمه موقع الويب الخاص بك. خلاف ذلك ، أعتقد أنها ستكون حالة من استخدام أساليب القوة الغاشمة لكسرها.
نصائح أخرى
تأكد من منع الصفحة من التخزين المؤقت في كل من العميل والوكالة والخادم.
أنت حقًا لا تريد تخزين الصفحة في أي ذاكرة التخزين المؤقت إذا كانت تحتوي على قيم ملفات تعريف الارتباط ASPXAUTH في العلامات.
أنا شخصياً سأستخدم SSL للاتصال إذا كانت بيانات حساسة للغاية.
