問題タブ [requiressl]

[RequireSSL]属性を使用してASP.NETMVCでSSLページにアクセスする簡単な方法を知っていますが、その逆を行うための最良の方法に少し混乱しています。

私のサイトにはヘッダーバーに多くのリンクがあり、それらのリンクのほとんどはSSLを必要とせず、SSLを使用したくありません。

futuresプロジェクトでは、を使用してSSLページに自動的にリダイレクトするのは非常に簡単[RequireSSL(Redirect=true)]ですが、このコンテキストから抜け出して自動的にhttpにリダイレクトするのは簡単ではないようです。

私は何が欠けていますか？

コントローラ アクションに属性 [RequireSSL] を追加して、ログイン ページを Https として有効にしましたが、正常に動作します。ただし、ログインに成功した後は https 環境のままですが、ページは非 https ページです。httpsモードからhttpモードに移行する回避策を教えてもらえますか? この点でどんな助けでも大歓迎です。

注：これは、[RequireSSL]属性に関連するASP.NETMVCの質問ではありません。それは完全に異なります-ちょうど同じ名前を持っています。

ASP.NETフォーム認証にはRequireSSLプロパティがあり、ASP.NETメンバーシップの認証CookieがSSL経由でのみ送信される必要があります。これは、誰かがCookieを盗んだり（ネットワークスニッフィングなど）、ユーザーになりすましたりするのを防ぐためです。

だから私は疑問に思っています-MSが行ったすべてのセキュリティ意識のある変更（httpOnly Cookieをデフォルトにするなど）で、なぜrequireSSLデフォルトにされないのtrueですか？

クッキースニッフィングは「ネグリビグル」セキュリティリスクと見なされますか？

接続によって実際に安全な/個人データにアクセスできる場合を除いて、falseのままにしておくことは許容できるリスクと見なされますか？受け入れられない場合-ユーザーをhttpに戻し、それでもユーザーが誰であるかを知るにはどうすればよいですか？

ネットワークを通過するときにフォーム認証Cookieがキャプチャされて改ざんされるのを防ぐには、認証されたアクセスが必要なすべてのページでSSLを使用し、要素にrequireSSL = "true"を設定して、フォーム認証チケットをSSLチャネルに制限するようにしてください。

フォーム認証CookieをSSLチャネルに制限するには

次のコードに示すように、要素にrequireSSL="true"を設定します。

requireSSL = "true"を設定することにより、ブラウザがCookieをサーバーに返送するかどうかを決定するセキュアCookieプロパティを設定します。セキュアプロパティが設定されている場合、Cookieは、HTTPSURLを使用して要求されたセキュアページにのみブラウザによって送信されます。

注：Cookieなしのセッションを使用している場合は、認証チケットがセキュリティで保護されていないチャネルを介して送信されないようにする必要があります。

接続法 ASP.NET 2 MVCワーカーロールアプリケーションがあります。これは、デフォルトのテンプレートとそれほど変わりません。

HTTPからHTTPSへのリダイレクトを試みると（これは、通常のRequireSSL属性の実装によって保護されたコントローラーにアクセスするときに発生します）、「BadRequest」メッセージを含む空白のページが表示されます。

IntelliTraceはこれを示しています：

スロー：「ファイル'/Views/Home/LogOnUserControl.aspx'は存在しません。」（System.Web.HttpException）

コールスタックは本当に短いです：

ユーザーコントロールリファレンスは、/ Views / Shared/Site.Masterにある通常のリファレンスです。

また、部分ビューLogOnUserControl.ashxはViews / Sharedにあります（ASPXではなくASCXです）。

SSLのために認証（FormsAuth）とリダイレクトを必要とするサイトページにアクセスしようとすると、問題が発生します。これらのページは、RequireSSL属性（リダイレクト== true）によって保護されています。

明らかに、この場合はRELEASEでコンパイルします。

誰かが何か考えを持っていますか、この奇妙な例外を引き起こす可能性のあるものとそれを取り除く方法はありますか？

次のようなNHibernateセッションを利用してセットアップおよび破棄するBeginRequestアプリケーションがあります。EndRequest

「SSLが必要」ボックスをチェックするまで、これはIISに展開すると正常に機能します。これを行うと、NullReferenceExceptionatが得られsession.Dispose()ます。

私はまだこれをデバッグしていません。もちろん、修正は些細なことですが、「SSL が必要」がリクエストのライフサイクルにどのように影響するかについて興味があります。このような場合、サーバー上でセッションが設定されていませんか?

編集: 明確にするために、RequireHttpsコントローラーの属性ではなく、アプリケーションの IIS 構成の「SSL が必要」オプションについて言及しています。

SSL が混在する Web アプリケーション (asp.net 3.5) があります。すべてのアカウント関連ページは SSL 経由で配信されます。ほとんどの他のすべてのページは非 SSL 経由で配信されます。HTTPS と HTTP を自動的に切り替えるには、このコンポーネントを使用します。最近、セキュリティで保護されていない Wifi ネットワークでユーザー セッションを乗っ取る機能に関するニュースがありました。これは、非 SSL 接続を介して送信される Cookie をキャッチすることで可能になります。

これにより、この Web アプリケーションでのセキュリティの選択を見直すきっかけになりました。(再び) MSDN からこの記事を入手し、Formsauthentication でrequireSSL=trueプロパティを試しました。Web アプリケーションを開始する前に、この情報を含む Cookie が Web ブラウザーとの間で送受信されないため、非 SSL ページでは User.Identity が null になることに気付きました。

SSL 接続を介してユーザーを認証するメカニズムが必要です... 非 SSL ページであっても、この認証情報を記憶しています。

SOを検索しているときに、この投稿を見つけました。これは良い解決策だと私には思えます。しかし、Sessionstate にログイン情報を保存することで解決策を見つけることができるのでしょうか? Global.asax で Application_AuthenticateRequest をキャッチすることを考えています。接続が安全かどうかを確認し、authcookie またはセッションを確認します。これをどのように実装するのか、まだ正確にはわかりません。多分あなたはこれについて私と一緒に考えることができますか？

午後の人々、

私が抱えているこの問題に関して、誰かが私に頭を上げてくれるだろうかと思っていました。私が抱えている主な問題は、私が何を見るべきかについて前向きではありません。

以下を使用するようにweb.configを変更しました。

httpではなくhttpを介してリクエストを行ったときに定義された一般的なCookieは表示されないため、すべて正常に機能しますが、asp.net_sessionid cookie（ASP.NET_SessionId = epg3ebjv1hheqe45kgp0j055）は引き続き表示されます。これは正しい振る舞いですか、それは見逃してはいけませんか？

アップデート：

インターネットを介してもう少しトロールを行っているときに、これはフォームCookieにのみ適用できることがわかりました。セッションCookieには適用されません。シックナー！ただし、次のリンクはそれに対する修正を提案しました：ASP.NET_SessionId cookieを保護する方法は？

残念ながら私の問題は解決しませんでしたが、Cookieはまだリクエストに表示されています。

私はあなたがこれを行うことができることを知っています:

「コントローラー」サーバーが外部の SSL 443 要求を受信し、それを復号化してから、http 80 を使用して (ssl なしで) プライマリ/セカンダリ サーバーに転送する Web ファーム フレームワークを使用している場合はどうなりますか?

この環境で [RequireHttps] 属性を試してみたのですが、Firefox で「ページが正しくリダイレ​​クトされていません」と応答してしまいました。Firefox は、サーバーがこのアドレスへのリクエストを決して完了しない方法でリダイレクトしていることを検出しました。SSL ではないことを認識していますが、SSL を取り除くため、MVC は SSL 属性を認識しません。

Web ファームの MVC 3 で https を使用する特定のアクション メソッドをどのように書き直しますか? どのようにこれを行うことができますか、[RequireHttps]または SSL と「URL 書き換え」を必要とする Web サイト内のすべての URL を厳選する必要がありますか?

編集：

ポート 443 トラフィックを識別し、Web ファームの https に転送するようにコントローラーを変更しました。コントローラーに SSL 証明書をロードするだけで済むと思っていましたが、プライマリとセカンダリにも (またはそれだけで) ロードする必要があります。

asp.net mvc 3には、ssl証明書があり、httpsで正常に実行されるサイトがあります。公開される唯一のページはログオンページです。何らかの理由で、httpsにロードされません。これが私の関連コードです（何かを省略した場合は、リクエストに応じてさらに投稿します）。

web.config

global.asax

アカウントコントローラー

ログオンビューが読み込まれると、Httpsにはありません。私は何を取りこぼしたか？

IIS7.5 では、私の Web アプリケーションで、[SSL が必要] をオンにし、[クライアント証明書] を [無視] に設定した場合、SSL 証明書を受け入れ、クライアントからの要求を証明書を使用して認証することと同じですか?