公共ASPXAUTH饼干和安全

Question

由于闪存的错误，我必须使用ASPXAuth饼干在闪存上传脚本上传后，将页面上登录的用户。有关更多信息，请参见本页面：的 http://geekswithblogs.net/apopovsky/archive/2009/05/06/working-around-flash-cookie-bug-in-asp.net-mvc.aspx

我在这个意义上，使ASPXAUTH字符串“公众”，这将是在页面的HTML。我的问题是，如何安全是什么？

据我所知，任何人都可以得到的HTML字符串或许可以从cookie得到它很容易，但让我们说某人确实有这个ASPXAUTH字符串。是否有可能，他们可以登录与使用这个cookie另一个用户？他们将能够解密呢？

巴拉

Answer 1

如果第三方获得了您的网站使用的解密密钥的窗体身份验证cookie的值可以被解密。否则，我想这将是使用蛮力的方法来破解它的情况。

Answer 2

请确保您防止缓存页面在两个客户，代理和服务器。

您真的不希望页面被存储在任何高速缓存，如果它包含aspxauth在标记cookie的值。

我个人使用SSL进行连接，如果它是非常敏感的数据。