セッション情報をデータベースに保存する ASP.Net MVC アプリを作成しましたが、ブラウザーの Cookie "ASP.NET_SessionId" にセッション ID が保存されていることがわかります。これはセキュリティ上のリスクですか? ID を使用してユーザーのセッションをハッキング/盗むことはできますか?
質問する
2049 次
1 に答える
0
Cookie のセッション ID は、ステートレス Web リクエストをサーバーに保存された状態に関連付けるために使用されます。
セキュリティに関しては、ASP.NET_SessionId に認証の詳細が含まれているとは思いません。それは .ASPXAUTH です (組み込みの .NET メンバーシップ プロバイダーを使用している場合)。状況によっては、ユーザーセッションを盗むために使用できると思います。
これについては、Troy Hunt のブログ、特にこの記事「Anatomy of an不十分なトランスポート レイヤー保護攻撃」を読んでください。彼はマクドナルドで Wi-Fi ユーザーの Cookie をパケット スニッフィングし、そのユーザーとしてログインします。
于 2012-09-24T17:57:03.457 に答える