Публичные файлы cookie ASPXAUTH и безопасность
-
20-09-2019 - |
Вопрос
Из-за ошибки во Flash мне приходится использовать файл cookie ASPXAuth для входа пользователя на страницу, которую вызывает сценарий загрузки Flash после загрузки.См. эту страницу для получения дополнительной информации: http://geekswithblogs.net/apopinsky/archive/2009/05/06/working-around-flash-cookie-bug-in-asp.net-mvc.aspx
Мне нужно сделать строку ASPXAUTH «общедоступной» в том смысле, что она будет находиться в HTML-коде страницы.Мой вопрос: насколько это безопасно?
Я понимаю, что любой, кто может получить доступ к строке в HTML, вероятно, сможет так же легко получить к ней доступ из файла cookie, но предположим, что у кого-то есть эта строка ASPXAUTH.Возможно ли, что они смогут войти в систему как другой пользователь, используя этот файл cookie?Смогут ли они его расшифровать?
Бара
Решение
Значение файла cookie проверки подлинности с помощью форм можно расшифровать, если третья сторона получила ключ расшифровки, используемый вашим веб-сайтом.В противном случае, я думаю, для взлома пришлось бы использовать методы грубой силы.
Другие советы
Убедитесь, что вы запретили кэширование страницы как на клиенте, так и на прокси-сервере.
Вы действительно не хотите, чтобы страница хранилась в каких-либо кэшах, если она содержит в разметке значения файлов cookie aspxauth.
Лично я бы использовал SSL для соединения, если бы это были очень конфиденциальные данные.