У меня есть приложение ASP.NET MVC, использующее аутентификацию формы.
Когда пользователь входит в систему, я получаю файл cookie auth с некоторым значением.IE:
auth = XXXYYY001
Все хорошо.
Теперь, когда проходит половина времени истечения сеанса (как указано в документации), когда включен скользящий сеанс истечения, значение cookie auth изменяется.
auth = XXXYYY002
У меня нет проблем с этим.
Проблема в том, что исходное значение cookie (XXXYYY001) по-прежнему работает, когда я пытаюсь перехватить сеанс из другого браузера послезначение auth cookie изменилось.Это было отмечено с помощью этической хакерской работы, которую мы провели на нашем сайте, и я смог воспроизвести ее на простом тестовом сайте, который я построил.
Мой вопрос: как я мог предотвратить это?Я не смотрел на исходный код (я даже не знаю, является ли эта часть ASP.NET открытым исходным кодом), но я не нашел ничего в документации, рассказывающей мне, как справиться с этим сценарием.
Заранее большое спасибо.