0
我已阅读MSDN,当您的网站没有激活SSL时,将slidingExpiration设置为false。这是为了限制劫持者可以使用被盗authcookie的时间。何时启用窗体身份验证滑动过期
但这没有任何意义。当没有SSL时,黑客可以自己拿到证书并使用它们。为什么当他/她有权访问用户名/密码时,他/她会窃取cookie?
我想说slidingExpiration与enabledSSL没有关系。
A
回答
1
为什么当他/她有权访问用户名/密码时,他/她会偷走cookie?
是什么让你觉得他有权访问用户名/密码? 只有用户名存在于加密表单身份验证Cookie中。所以他偷的是cookie,而不是用户名或密码。他不能解密它(除非他使用蛮力),所以他无法获取原始用户名,也不能更改此用户名。由于该cookie中没有密码,因此他不能拥有该密码。所以如果这个cookie已经激活滑动过期,只要它有效就可以使用它。
但一般来说,如果您关心安全性,则应始终使用SSL。
相关问题
- 1. 表单身份验证 - 滑动过期
- 2. MVC - 启用窗体身份验证
- 3. 确定ASP.NET窗体身份验证何时会过期
- 4. ASP.NET窗体身份验证到期
- 5. ASP窗体身份验证
- 6. Uploadify - 窗体身份验证
- 7. 窗体身份验证
- 8. MVC4窗体身份验证+ AJAX行动
- 9. 从窗体身份验证转换为Windows身份验证
- 10. 网站窗体身份验证 - > SQL Server Windows身份验证
- 11. 基本身份验证,回退到窗体身份验证
- 12. ASP.NET窗体身份验证即使在活动时也会过期
- 13. 正在启动ASP.NET窗体身份验证
- 14. SignalR与表单身份验证滑动过期
- 15. 在使用窗体身份验证“slidingExpiration”
- 16. 如何从asp.net窗体身份验证转换为Windows身份验证
- 17. ASP.NET窗体身份验证 - 何时使用?
- 18. Windows身份验证和窗体身份验证一起用于ASP.NET
- 19. 将窗体身份验证与Windows身份验证混合使用
- 20. 使用窗体身份验证和Windows身份验证的Active Directory
- 21. 使用窗体身份验证cookie中缓存角色 - (Windows身份验证)
- 22. LTI使用Node.js启动身份验证
- 23. mvc窗体身份验证重定向
- 24. ASP.NET窗体身份验证与Windows Safari
- 25. .NET窗体身份验证和CurrentContext.User
- 26. web.config中的窗体身份验证,cookiename
- 27. SAML V2窗体身份验证
- 28. 窗体身份验证错误
- 29. ASP.NET窗体基于身份验证
- 30. 实现窗体身份验证在
没错。 cookie只包含用户名和黑客可以使用cookie,只要cookie有效(将slidingExpiration设置为false在这里效果很好),但是我想说,当用户尝试登录他的凭证时,如果没有SSL,将以纯文本形式发送,因此黑客可以使用这些而不是偷取结果auth cookie –
正确,你是绝对正确的。当用户登录时,用户名和密码以纯文本的形式发送。我以为你在问关于身份验证的cookie。 –