@reach4thelasersによって書かれた選択された回答に対する @Slauma のリンク応答 (ここに含まれています) に感銘を受けたとき、私はこのSO の質問を読んでいました。これは、ASP.NET のフォーム認証をクラックして、約 30 分でリモート マシン キーを収集する方法をブログに投稿したものです。
これは特定のことを行わない場合にのみ可能であると述べたブログ投稿への回答がいくつかありましたが、それらの具体的なことが何であるかについては明確ではありませんでした (カスタムエラーページに関するものですが、ビデオはそうではありませんでしたエラーページにヒットする)。また、MS にはこの種の攻撃を回避するための推奨事項があることにも言及しましたが、推奨事項へのリンクはありませんでした。
では、まず、ASP.NET フォーム認証システムを開発する際に、上記のような悪用を防ぐために何が必要かを明確に説明してもらえますか?
次に、特定のベスト プラクティス (既定では実装されていません) によって緩和または防止される、ASP.NET フォーム認証の既知のエクスプロイトは他にありますか? 私は財務データの公開サイトを構築しているので、これは私にとって深刻な懸念事項です。