#asp.net #cookies #ssl #forms-authentication
#asp.net #файлы cookie #ssl #формы-аутентификация
Вопрос:
Я хочу внедрить SSL для предотвращения атак с повторным использованием файлов cookie на нашем сайте.
Сайт использует .Аутентификация NET forms. Нужно ли мне просто включить SSL для страницы входа в систему или должна быть защищена каждая страница, стоящая за аутентификацией форм?
Спасибо
Ответ №1:
Вам нужно будет включить SSL для каждой страницы, на которой браузеру дается указание отправить cookie-файл проверки подлинности. По умолчанию это будет означать каждую страницу вашего веб-сайта, хотя при записи файла cookie в браузер вы можете указать ему отправлять его только по протоколу HTTPS или ограничить его определенными путями.
Но в целом это означало бы, что SSL защищает каждую страницу вашего сайта, а не только страницу входа.
Ответ №2:
Веб-сайты .Net передают не только состояние просмотра, но и любые файлы cookie обратно на сервер при обратной передаче. Это влияет на вашу безопасность в том смысле, что кто-то, использующий firesheep (или аналогичный инструмент), может легко получить файл cookie аутентификации не при входе в систему, а когда пользователь отправляет обратную отправку с помощью нажатия кнопки или события ajax на несколько страниц в приложение.
Если у вас есть доступ к IIS, вы можете не только включить использование SSL, но и принудительно использовать его.