Asp.net - Использование SSL для предотвращения атаки воспроизведения cookie

Question

Я хочу использовать SSL для предотвращения атак воспроизведения файлов cookie на нашем сайте.

Сайт использует аутентификацию форм .NET.Нужно ли мне просто включить SSL для страницы входа в систему или это будет каждая страница за аутентификацией форм, которая должна быть безопасной?

Спасибо

Answer 1

Вам потребуется включить SSL для каждой страницы, на которой браузеру дано указание отправлять cookie билета проверки подлинности.По умолчанию это будет означать каждую страницу на вашем веб-сайте, хотя при записи файла cookie в браузер вы можете указать ему отправлять его только через HTTPS или ограничить его определенными путями.

Но в целом это будет означать, что SSL защищает все страницы вашего сайта, а не только страницу входа.

Answer 2

.Net веб-сайты передают не только состояние просмотра, но и любые куки-файлы обратно на сервер при обратной передаче.Это влияет на вашу безопасность в том смысле, что кто-то, использующий firesheep (или аналогичный инструмент), может легко получить файл cookie для аутентификации не при входе в систему, а когда пользователь выполняет обратную передачу с помощью нажатия кнопки или события ajax на нескольких страницах вapplication.

Если у вас есть доступ к IIS, вы можете не только включить использование SSL, , но и принудительно .

.