Openbare ASPXAUTH koekie en sekuriteit
-
20-09-2019 - |
Vra
As gevolg van'n fout in die Flits, ek het om te gebruik die ASPXAuth koekie aan te meld'n gebruiker op'n bladsy wat'n flash upload script oproepe na die oplaai.Sien hierdie bladsy vir meer inligting: http://geekswithblogs.net/apopovsky/archive/2009/05/06/working-around-flash-cookie-bug-in-asp.net-mvc.aspx
Ek het om te maak die ASPXAUTH string "publiek" in die sin dat dit sal wees in die HTML-van die bladsy.My vraag is, hoe veilig is dit?
Ek verstaan dat enige iemand wat kan kry om die string in die HTML-kan waarskynlik kry om dit uit die koekie net so maklik nie, maar kom ons sê iemand het hierdie ASPXAUTH string.Is dit moontlik dat hulle kan inteken as'n ander gebruiker met behulp van hierdie koekie?Sou hulle in staat wees om te decrypt dit?
Bara
Oplossing
Die waarde van die vorm verifikasie koekie kan Ontcijferde as 'n 3de party die dekripsie sleutel wat gebruik word deur jou webwerf gekry. Anders, ek dink dit sal 'n geval van die gebruik van brute krag metodes om dit te kraak nie.
Ander wenke
Maak seker dat jy die page kas by beide kliënt, volmag en bediener.
Jy wil regtig nie die bladsy gestoor word in enige caches as dit bevat aspxauth koekie waardes in die opmaak.
Ek persoonlik sou SSL gebruik vir die aansluiting as dit was baie sensitiewe data.