logo标签列表

公共的ASPXAUTH cookie和安全性

asp.netforms-authenticationuploadify.aspxauth
4
由于Flash中的一个错误,我必须使用ASPXAuth cookie在上传后调用flash上传脚本的页面上登录用户。更多信息请参见此页面:链接 我必须使ASPXAUTH字符串在HTML页面中“公开”,这意味着它将出现在页面的HTML中。我的问题是,这样做有多安全?
我知道任何能够访问HTML中字符串的人可能也可以轻松地从Cookie中访问它,但假设某人确实拥有此ASPXAUTH字符串,他们能否使用此Cookie作为另一个用户登录?他们能解密它吗?
巴拉
2个回答
4
如果第三方获得了您的网站使用的解密密钥,就可以解密表单身份验证 cookie 的值。否则,我想这将是使用强制破解方法来破解它的情况。
你觉得将认证 cookie 写入 HTML 以便在 JavaScript 中使用安全吗? - Bara
是的,因为任何人都可以通过查看cookie中的值来查看第一次的值。只有当该值到达服务器时才会被解密并用于初始化用户ID、访问用户数据等等...所以,如果有人想要以不同的用户身份登录,他需要能够解密您的cookie,更改UserID的值,再次加密所有内容,然后将其发送到服务器。 - nikib3ro
@Bara,我肯定不会这样做。只有在您不使用SSL时,kape123所说的才是正确的。如果您使用SSL,并将cookie标记为Http-only和secure,则只有最终用户可以访问它-因为毕竟它代表了他/她的身份-但绝对不是任何人。允许JavaScript访问它会使其暴露给任何注入的代码,这可能会导致身份被盗。 - Chris Wesseling
1

确保在客户端、代理和服务器上都防止页面缓存。

如果标记中包含aspxauth cookie值,您真的不希望页面被存储在任何缓存中。

个人建议如果数据非常敏感,最好使用SSL连接。

网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接