Perchè è l'impostazione predefinita per la proprietà requireSSL di FormsAuthentication falso!
-
18-09-2019 - |
Domanda
Nota: Questa non è una domanda ASP.NET MVC relative al l'attributo [RequireSSL]. Quello è completamente diverso - solo ha lo stesso nome
.ASP.NET Forms autenticazione ha la RequireSSL proprietà che richiede che il cookie di autenticazione per l'adesione ASP.NET è sempre e solo inviati tramite SSL. Questo per impedire a qualcuno di rubare il cookie (ad esempio tramite la rete sniffing) e rappresentando l'utente.
Quindi mi chiedo - con tutte le modifiche coscienti di sicurezza di MS hanno fatto (come la realizzazione di cookie HttpOnly default) il motivo per cui è requireSSL
non inadempiente a true
?
E 'biscotto sniffing considerato un rischio per la sicurezza 'neglibigle'?
E 'considerato un rischio accettabile lasciare falso a meno che la connessione permette in realtà mi di accesso ai dati sicuri / personali? Se si mangia accettabile -? Come faccio a tornare a un utente di http ed ancora sanno chi sono
Per evitare l'autenticazione moduli i cookie di essere catturato e manomesso attraversando la di rete, assicurarsi di utilizzare SSL con tutte le pagine che richiedono autenticati accesso e limitare le forme ticket di autenticazione per canali SSL impostando requireSSL = "true" sulla elemento.
di autenticazione per limitare le forme Biscotti ai canali SSL
Set requireSSL = "true" sull'elemento, come mostrato nel seguente codice.
Impostando requireSSL = "true", si imposta la proprietà cookie sicuro che determina se i browser dovrebbero inviare il cookie al server. Con l'insieme di proprietà sicuro, il cookie viene inviato dal browser solo per una pagina protetta che viene richiesta tramite un URL HTTPS.
Nota: Se si utilizza senza cookie le sessioni, è necessario assicurarsi che il ticket di autenticazione non è mai trasmessa attraverso un non garantito canale.
Soluzione
Perché avete bisogno di un certificato SSL se si attiva che in data, e quelli di solito costano denaro per acquistare. È inoltre possibile utilizzare le sessioni del browser per controllare le informazioni non-sicuro - e in alcuni siti web pubblici che potrebbe essere esattamente tutto quello che vogliamo fare. In questo caso nulla sensibili siano rivelato da qualcuno rubare cookie di sessione di un'altra persona - e allora perché andare al costo e fastidio di acquisto e l'installazione di un certificato SSL
?