Biscoito e segurança públicos aspxauth
-
20-09-2019 - |
Pergunta
Devido a um bug no flash, tenho que usar o cookie ASPXAUTH para registrar um usuário em uma página que um script de upload flash chama após o upload. Veja esta página para mais informações: http://geekswithblogs.net/apopovsky/archive/2009/05/06/working-around-flash-cookie-bug-in-asp.net-mvc.aspx
Eu tenho que tornar a string aspxauth "pública" no sentido de que estará no HTML da página. Minha pergunta é: quão seguro é isso?
Entendo que qualquer pessoa que possa chegar à string no HTML provavelmente pode chegar a partir do cookie com a mesma facilidade, mas digamos que alguém tenha essa string aspxauth. É possível que eles possam fazer login como outro usuário usando este cookie? Eles seriam capazes de descriptografá -lo?
Bara
Solução
O valor do cookie de autenticação de formulários pode ser descriptografado se uma terceira parte tivesse obtido a chave de descriptografia usada pelo seu site. Caso contrário, acho que seria um caso de usar métodos de força bruta para quebrá -lo.
Outras dicas
Certifique -se de impedir que a página em armazenamento em cache no cliente, proxy e servidor.
Você realmente não deseja que a página seja armazenada em nenhum caches se ela contiver valores de cookies ASPXAUTH na marcação.
Pessoalmente, eu usaria o SSL para a conexão se fossem dados muito sensíveis.