cookie et la sécurité publique ASPXAUTH
https://stackoverflow.com/questions/2473119
-
20-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
En raison d'un bogue dans Flash, je dois utiliser le cookie ASPXAuth pour se connecter un utilisateur sur une page qu'un script de téléchargement flash appels après le téléchargement. Voir cette page pour plus d'informations: http://geekswithblogs.net/apopovsky/archive/2009/05/06/working-around-flash-cookie-bug-in-asp.net-mvc.aspx
Je dois faire la chaîne ASPXAUTH « public » dans le sens où il sera dans le code HTML de la page. Ma question est, est-il sûr cela?
Je comprends que tout le monde qui peut arriver à la chaîne dans le code HTML peut probablement y accéder à partir du cookie tout aussi facilement, mais disons que quelqu'un ne cette chaîne ASPXAUTH. Est-il possible qu'ils peuvent se connecter comme un autre utilisateur en utilisant ce cookie? Seraient-ils capables de le déchiffrer?
Bara
La solution
La valeur du cookie d'authentification des formulaires pourrait être déchiffré si une 3ème partie avait obtenu la clé de déchiffrement utilisée par votre site Web. Sinon, je pense que ce serait un cas d'utilisation des méthodes de force brute pour casser.
Autres conseils
Assurez-vous que vous empêchez la page de la mise en cache à la fois client, proxy et serveur.
Vous ne voulez vraiment pas la page à stocker dans des caches si elle contient aspxauth valeurs de cookie dans le marquage.
Personnellement, j'utiliser le protocole SSL pour la connexion si elle était des données très sensibles.
