公共ASPXAUTHクッキーとセキュリティ
-
20-09-2019 - |
質問
によりFlashのバグのため、私はフラッシュのアップロードスクリプトは、アップロード後に呼び出してページ上でユーザーをログに記録するASPXAuthクッキーを使用する必要があります。詳しくはこちらのページを参照してください:<のhref =「http://geekswithblogs.net/apopovsky/archive/2009/05/06/working-around-flash-cookie-bug-in-asp.net-mvc.aspx」 rel = "nofollowをnoreferrer"> http://geekswithblogs.net/apopovsky/archive/2009/05/06/working-around-flash-cookie-bug-in-asp.net-mvc.aspxする
私はそれをページのHTMLになりますという意味で「パブリック」ASPXAUTH文字列を確認する必要があります。私の質問は、このどのように安全ですか?
私は、HTML内の文字列を取得することができ、誰もが、おそらく同じように簡単にクッキーからそれを得ることができることを理解し、しかし、のは、誰かがこのASPXAUTH文字列を持っていないとしましょう。それは彼らがこのクッキーを使用して別のユーザーとしてログインできることは可能ですか?彼らはそれを解読することはできますか?
バラ
解決
フォーム認証Cookieの値を復号化することができます。そうでなければ、私はそれをクラックするためにブルートフォース法を用いた場合だろうと思います。
他のヒント
あなたは、クライアント、プロキシとサーバーの両方でキャッシュからページを防ぐことを確認します。
それはマークアップでaspxauthクッキー値が含まれている場合は、あなたは本当に、ページがどのキャッシュに格納する必要はありません。
それは非常に機密性の高いデータであれば個人的に私は、接続のためにSSLを使用することになります。