Por que o padrão é a propriedade FormSauthentication RequerSll False!
https://stackoverflow.com/questions/1685502
-
18-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
NOTA: Esta não é uma pergunta do ASP.NET MVC relacionada ao atributo [RequessL]. Isso é completamente diferente - só tem o mesmo nome.
A autenticação de formulários asp.net tem o RequerSsl Propriedade que exige que o cookie de autenticação da ASP.NET seja enviado apenas pelo SSL. Isso evita que alguém roube o cookie (como por farejando em rede) e se passando pelo usuário.
Então, estou me perguntando - com todas as mudanças conscientes da segurança que MS fizeram (como fazer biscoitos httponly padrão) por que é requireSSL não padrão true ?
O cheiro de Cookie é considerado um risco de segurança de 'negligência'?
É considerado um risco aceitável deixá -lo falso, a menos que a conexão realmente me permita acessar dados seguros/pessoais? Se não é aceitável - como devo devolver um usuário ao HTTP e ainda saber quem eles são?
Para impedir que os cookies de autenticação de formulários sejam capturados e adulterados ao cruzar a rede, verifique se você usa o SSL com todas as páginas que exigem acesso autenticado e restringem os tickets de autenticação de formulários para os canais SSL, definindo requer SSUCL = "true" no elemento.
Para restringir as formas cookies de autenticação aos canais SSL
Definir requerSl = "true" no elemento, conforme mostrado no código a seguir.
Ao configurar requerSll = "true", você define a propriedade Secure Cookie que determina se os navegadores devem enviar o cookie de volta ao servidor. Com o conjunto de propriedades seguras, o cookie é enviado pelo navegador apenas para uma página segura solicitada usando um URL HTTPS.
NOTA: Se você estiver usando sessões de cozinheira, deve garantir que o ticket de autenticação nunca seja transmitido em um canal não garantido.
Solução
Porque você precisa de um certificado SSL, se você liga, e esses geralmente custam dinheiro para adquirir. Você também pode usar sessões do navegador para controlar informações não seguras - e em alguns sites públicos que podem ser exatamente tudo o que você deseja fazer. Nesse caso, nada sensível é revelado por alguém roubando o cookie de sessão de outra pessoa - então, por que ir ao custo e se preocupar em comprar e instalar um certificado SSL?
