Question

У меня сложилось впечатление, что членство в ASP.NET по умолчанию шифрует его cookie.

Достаточно ли безопасно предположить, что членство в ASP.NET защищает от перехвата сеанса (ala Firesheep)?

Dave Swersky · Answer 1 · 12 ноября 2010

Членство в ASP.NET использует тот же механизм, что и любой другой сайт, и абсолютно уязвимо для атаки Firesheep.Сам cookie не может быть зашифрован таким образом, чтобы предотвратить его захват.Вся связь с сервером должна быть зашифрована для защиты от перехвата сеанса с использованием беспроводного шифрования SSL или WEP.

SLaks · Answer 2 · 12 ноября 2010

Только если весь сеанс работает по HTTPS.

Firesheep не заботится о содержимом файла cookie; все, что нужно сделать, это скопировать cookie в браузере злоумышленника.

Пока файл cookie отправляется в виде открытого текста (в отличие от HTTPS или WPA), вы по-прежнему уязвимы.

Anders Fjeldstad · Answer 3 · 12 ноября 2010

Файл cookie зашифрован, но это не мешает тому, кто сам получает файл cookie, действовать как вы.

Защищено ли членство в ASP.NET от Firesheep?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Защищено ли членство в ASP.NET от Firesheep?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы