2

ASP.NET フォーム認証方法を使用しており、machinekey タグで特定の暗号化キーと復号化キーを使用し、slideexpiration を true に設定し、タイムアウトを 20 分に設定しています。ここで質問があります。誰かが私の Cookie を盗んだ場合、その人は私のアカウントでどこからでもログインできますか? (暗号化は常に一定であるため) また、答えが「いいえ」の場合、すべてのリクエストで Cookie の値はどのように変化するのでしょうか?

ありがとう

編集済み: リクエストごとに Cookie が変更される場合、暗号化キーはどこに保存されますか? また、アプリケーションはデータを復号化するための鍵をどのように認識しているのでしょうか?

4

1 に答える 1

2

CookieはForms認証チケットを保持します。スライド認証を使用すると、チケットに保存されている日付を、サーバーによってチェックされる任意の要求で更新できます。そのため、Cookieの値が変化します。

Cookie(またはチケット)は盗難に対して脆弱であり、セッションを乗っ取るために確実に使用できます。詳細については、このMicrosoftの記事を参照してください。

于 2012-04-23T20:03:48.850 に答える