Öffentliche ASPXAUTH Cookie und Sicherheit
-
20-09-2019 - |
Frage
Durch einen Fehler in Flash, ich habe die ASPXAuth Cookie verwenden, um einen Benutzer in einer Seite anmelden, dass ein Flash-Upload-Skript Anrufe nach dem Hochladen. Sehen Sie diese Seite für weitere Informationen: http://geekswithblogs.net/apopovsky/archive/2009/05/06/working-around-flash-cookie-bug-in-asp.net-mvc.aspx
muß ich das ASPXAUTH String „public“ in dem Sinne, dass es in dem HTML-Code der Seite sein wird. Meine Frage ist, wie sicher ist das?
verstehe ich, dass jemand, der auf die Zeichenfolge im HTML bekommen kann, wahrscheinlich aus dem Cookie, um es genauso einfach, aber sagen wir mal jemand diese ASPXAUTH Zeichenfolge hat. Ist es möglich, dass sie als ein anderer Benutzer mit diesem Cookie anmelden können? Würden sie in der Lage sein, es zu entschlüsseln?
Bara
Lösung
Der Wert der Formularauthentifizierung Cookie entschlüsselt werden könnte, wenn eine dritte Partei die Entschlüsselungsschlüssel von Ihrer Website verwendet wird, erhalten hat. Ansonsten denke ich, es ist ein Fall der Verwendung von Brute-Force-Methoden wäre es zu knacken.
Andere Tipps
Stellen Sie sicher, verhindern Sie die Seite aus dem Caching auf Client, Proxy und Server.
Sie wollen wirklich nicht die Seite in jedem Cache-Speicher gespeichert werden, wenn sie aspxauth Cookie-Werte im Markup enthalten.
Persönlich würde ich SSL für die Verbindung verwenden, wenn es sehr sensible Daten sind.