Расшифровка зашифрованного ViewState

Question

Краткая справка: у меня есть двухэтапная страница входа, которая после шага 1 отправляет одноразовый код на электронную почту пользователя.Мне не нужен этот код нигде, кроме как на шаге 2. Я погуглил и решил сохранить оригинальный код в Encrypted ViewState.Итак, вопрос: безопасен ли он?Можно ли расшифровать зашифрованное представление состояния на стороне клиента и получить код оттуда?(конечно, я имею в виду действительно зашифрованное представление состояния, а не только base64ed).

Answer 1

Насколько я понимаю, ViewState сериализуется в строку в кодировке base-64 с использованием MachineKey в machine.config.Чтобы клиент (я предполагаю, что javascript) расшифровал его, не нужно ли открывать MachineKey?Это было бы совсем нехорошо.

Answer 2

ViewState может быть декодирован:

Инструмент 1: Просмотр состояния декодера Инструмент 2: Http Fox Инструмент 3: Скрипач

Answer 3

Шифрование и декодирование - это две разные вещи. Декодирование Base64 строки в кодировке Base64 не в целях безопасности. Для расшифровки зашифрованной строки требуется ключ.

Вы сначала кодируете, затем шифруете.

Answer 4

Лично я не рекомендовал бы это.Как бы вы справились, если бы ваш пользователь потерял соединение с интернетом после того, как вы отправили одноразовый код по электронной почте, но до того, как он его использовал?

Answer 5

Можно расшифровать все, что угодно, если достаточно времени и достаточный выборочный набор.ViewState также не совсем безопасен.Если у вас есть информация, которую вы не хотите попадать в руки потенциального злоумышленника, вы должны полностью исключить ее из ViewState.