Question

Я рассматриваю вопрос о сохранении введенного пользователем пароля в состоянии сеанса. Есть ли какие-либо угрозы безопасности или проблемы, о которых мне нужно знать?

Robert Levy · Answer 1 · 17 декабря 2011

Да. Это просто очень плохая идея. Вы даже не должны хранить пароли в базе данных - лучше всего хранить хэши паролей. Таким образом, вы можете проверить пароль, но если кто-то получит доступ к базе данных (или к состоянию сеанса в вашем случае), у него фактически не будет пароля пользователя.

danludwig · Answer 2 · 17 декабря 2011

В asp.net есть много мест, где могут храниться данные сеанса. Чаще всего в разработке, это InProc или в основном в оперативной памяти. Однако однажды вы могли бы решить использовать другого поставщика сеансов, такого как база данных, или использовать кэш Windows Azure. Хранение паролей в виде открытого текста сделает их видимыми, когда они передаются по сети в обоих этих случаях.

В приведенном выше сценарии, когда данные сеанса передаются по сети, если передача не передается по https, будут видны чистые пароли

Хранение пароля в сеансе

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Хранение пароля в сеансе

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы