私はMSDNで、WebサイトでSSLがアクティブ化されていない場合、slidingExpirationをfalseに設定することを読みました。これは、ハイジャック犯が盗まれたauthcookieを使用できる時間を制限するためです。
しかし、これは意味がありません。SSLがない場合、ハッカーは資格情報自体を取得して使用する可能性があります。ユーザー名/パスワードにアクセスできるのに、なぜ彼/彼女はクッキーを盗む必要があるのですか?
slideingExpirationはenabledSSLとは関係がないことを言いたいです。
ユーザー名/パスワードにアクセスできるのに、なぜクッキーを盗む必要があるのでしょうか?
彼がユーザー名/パスワードにアクセスできると思う理由は何ですか? 暗号化されたフォーム認証 Cookie 内には、ユーザー名のみが存在します。したがって、彼が盗むのはユーザー名やパスワードではなく、Cookie です。彼はそれを復号化できないため (ブルート フォースを使用しない限り)、元のユーザー名を取得することも、このユーザー名を変更することもできません。パスワードはこの Cookie にも存在しないため、彼はパスワードを取得できません。したがって、この Cookie のスライド有効期限が有効になっている場合、有効である限り使用できます。
ただし、一般的に、セキュリティを気にする場合は、常に SSL を使用する必要があります。