2

ASP.NET Web サイトの基本的なログイン ページの作成を検討しています。これまでに見たすべてのチュートリアルでは、基本的に次の手順を説明しています。
1. ユーザー名とパスワードのテキスト ボックス、およびログイン ボタンを含むフォームを作成します。
2. 検証関数を呼び出すイベントにログイン ボタンを接続し、これら 2 つのテキスト ボックスからデータを渡します。
3. これらのテキストボックス内のデータを安全な方法で比較して、データベースまたは他の場所のログイン情報と比較します。
4. クライアントに結果を返すか、#3 に基づいてリダイレクトします。

私が見つけたすべてのセキュリティ情報は、#3 で起こったことに言及しています。私の懸念は、#1 から #2 への移行です。データはクリア テキストで http ポストを介して送信されませんか? 誰かが tcp トレースまたは wireshark (ethereal) を実行し、パケットを検査し、ユーザー名とパスワードがクリアされていることを確認できませんでしたか? これを防ぐには SSL 証明書を購入する必要がありますか? 暗号化されていない場合、何らかの方法でハッシュされたこの情報を渡す何かが.netに既にありますか?

ありがとう、rj

4

1 に答える 1

1 
Must I buy an SSL cert to prevent this?

はい、安全にするには、2 つのことに注意する必要があります。

  1. ページは SSL 経由である必要があるため、名前とパスワードは安全に送信する必要があります。
  2. 資格情報 Cookie も ssl 経由のみである必要があり、もちろん暗号化されている必要があります。

詳細情報:
ハッカーがユーザーから Cookie を盗み、その名前で Web サイトにログインすることはできますか?
異なるユーザーが同じ Cookie を取得します - .ASPXANONYMOUS の値
この新しい ASP.NET セキュリティの脆弱性はどの程度深刻で、どのように回避できますか?

于 2012-11-12T07:26:26.307 に答える