1

セッション ID は Cookie クライアント側に保存されるため、その Cookie を簡単に変更して、セッション ID の値を別のユーザー セッション ID の値に変更できます。最初のユーザーが 2 番目のユーザーからデータを取得できるようにします。セッションが「ログインセッション」を保存するために使用された場合、ユーザーは別のユーザーであるかのようにログインできますが、セッションは簡単に「ハッキング可能」ですか? 私は自分で試してみましたが、別のユーザー セッションで簡単にナビゲートできました。これは、両方のセッションが同じ IP とコンピューターからのものだったために機能しただけかもしれませんが、ASP MVC エンジンはこれを回避するためのセキュリティ チェックを提供していますか?

4

1 に答える 1

1

「ログインセッション」を保存するためにセッションを使用しないでください。.ASPXAUTH Cookie は、認証されたユーザーの情報を格納するために使用されます。この Cookie は、設定したマシン キーまたは IIS によって自動生成されたマシン キーで暗号化されます。

セッションのハイジャックを懸念している場合 (アプリケーションによっては懸念する必要があります)、認証 Cookie (userId) とセッション内の情報を組み合わせて使用​​し、値が実際に一致することを確認する必要があります。

通常、セッションと認証の 2 つの概念は混同されていますが、混同されるべきではありません。1 つはアプリケーションに対してユーザーを識別し、ユーザーが実際に認証されていることを確認します (Forms Auth Ticket/Cookie)。もう 1 つは単に Web リクエスト間のデータを保存するだけです。

.NETのフォーム認証チケットと Cookieに関する詳細情報を次に示します。

また、あなたの質問に多少関連するこの Q&Aも参照してください。物事がどのように機能するかについての洞察が得られ、必要なものを達成するのに役立つ場合があります。

于 2013-05-08T23:18:51.287 に答える