セットアップ:
Formsauthentication
Cookie を使用してログイン チケットを保存する Web サイトに取り組んでいます。このサイトにはHTTPHandler
、データベースに保存された画像を管理する もあります。ハンドラーはイメージをキャッシュして公開し、20 分で期限切れになります。画像にはページと同じライフサイクルがあるため、画像にもFormsauthentication
Cookie が含まれていることに気付きました。構成は IIS 6、Win2k サーバーで、コンテンツの有効期限は有効になっていません。
問題:
私たちが経験しているのは、人物 A がログインして、いくつかのページにアクセスすることです。次に、B さんはログインしていないデフォルトのページにアクセスし、A さんの Cookie を取得して、A さんのすべてのデータを表示できるようにします。IIS で Content Expiration をオンにして問題を再現しましたが、一貫して再現していないため、Content Expiration が問題の再現に役立ったかどうかはわかりません。画像はパブリックとしてキャッシュされており、またFormsAuthentication
. これが Web サイトへの攻撃ではないことはわかっています。
この動作に似たようなことを経験した人はいますか? もしそうなら、この問題を一貫して再現する方法について何かアドバイスをいただけますか?