ASP.net Forms Authentication - Защита не работает для меня

Question

в моем файле web.config у меня есть следующее:

<authentication mode="Forms">
   <forms name=".ASPXAUTH" protection="All" loginUrl="~/Account/Login.aspx" timeout="2880" />
</authentication>

Но когда я вхожу в систему и смотрю трафик с помощью fiddler, я все равно вижу пароль в виде простого текста.Понятия не имею, что не так.

С уважением,

матовый

Answer 1

Я знаю только два решения этого вопроса:

1. Используйте https. Лучшее решение, Moste Secure.
2. Используйте библиотеку javascript (sha1) для хеширования пароля перед его отправкой (и ОЧИСТИТЕ поле исходного пароля!). Также используйте случайно сгенерированную соль, которая отличается для каждого логина, сохраняйте соль на сервере и в скрытом поле, чтобы вы также могли проверить соль (пользователь не может ее изменить).

Answer 2

Аутентификация по формам только адресует доступ к конечным точкам URL в вашем приложении, но не учитывает, как данные передаются от клиентов и к ним - то, что вы видите через Fiddler, является обычным HTTP-трафиком.

Обычно, по крайней мере, страница входа на всех основных сайтах выполняется через HTTPS, поэтому вы не можете шпионить за открытым текстом HTTP.