3

攻撃者がSetAuthCookie呼び出しに配置された認証Cookieを被害者のPCから被害者のPCにコピーした場合、攻撃者はWebアプリケーションによって認証されたと見なされますか?

public static void SetAuthCookie(
    string userName,
    bool createPersistentCookie
)

標準フォーム認証FormsAuthentication.SetAuthCookieと引数createPersistentCookie=falseを使用する

Web構成設定のためにこれを想定します

<authentication mode="Forms">
    <forms name="MyWebApp" path="/" loginUrl="~/Default.aspx"
     timeout="30" defaultUrl="~/Default.aspx" protection="All"
     requireSSL="true" />       
</authentication>
4

1 に答える 1

4

はい; ASP.Net は、認証 Cookie に IP アドレスを含めません。(そして、それは共有 WiFi やプロキシに対しても役に立たないでしょう)

ただし、 があるためrequireSSL="true"、攻撃者は (原則として) その Cookie を取得できません。(サーバーまたはクライアントにアクセスできる場合を除きます。その場合、より大きな問題が発生します)

これが、常に SSL を使用する必要がある理由です。

于 2013-03-08T20:20:06.620 に答える