Публичный ASPXAUTH cookie и безопасность

Question

Из-за ошибки во Flash я должен использовать файл cookie ASPXAuth для входа пользователя на страницу, которую скрипт загрузки Flash вызывает после загрузки.См. Эту страницу для получения дополнительной информации: http://geekswithblogs.net/apopovsky/archive/2009/05/06/working-around-flash-cookie-bug-in-asp.net-mvc.aspx

Я должен сделать строку ASPXAUTH "общедоступной" в том смысле, что она будет в HTML страницы.У меня вопрос: насколько это безопасно?

Я понимаю, что любой, кто может получить доступ к строке в HTML, может также легко получить к ней файл cookie, но, скажем, кто-то имеет эту строку ASPXAUTH.Возможно ли, что они могут войти как другой пользователь, используя этот файл cookie?Смогут ли они расшифровать это?

Бара

Answer 1

Значение файла cookie проверки подлинности с помощью форм можно расшифровать, если третья сторона получила ключ расшифровки, используемый вашим веб-сайтом. В противном случае, я думаю, это был бы случай использования методов грубой силы, чтобы взломать его.

Answer 2

Убедитесь, что вы не допускаете кэширования страницы на клиенте, прокси и сервере.

Вы действительно не хотите, чтобы страница сохранялась в каких-либо кэшах, если она содержит значения cookie aspxauth в разметке.

Лично я бы использовал SSL для соединения, если бы это были очень конфиденциальные данные.