Что такое файл cookie, связанный с /_vti_bin/Discovery.asmx и почему я не могу установить его атрибут Secure?

Question

У меня есть сайт WSS 3.0, который использует аутентификацию форм. В дополнение к моему файлу аутентификации я получаю куки, которые содержат такие данные:

2FDiscovery=WorkspaceSiteName=aHR0cDovL3d3dy5rZWxldi5iaXo=&WorkspaceSiteUrl=
aHR0cHM6Ly9zdGFnaW5nLWluc2lnaHQubmNqcnMuZ292&WorkspaceSiteTime=MjAwOS
0xMi0xMFQxNDo1ODoxMQ==; path=/_vti_bin/Discovery.asmx;

Этот файл cookie не имеет установленного атрибута Secure, хотя в моем файле web.config есть requireSSL = "true", а другие файлы cookie имеют атрибут.

Я не знаю, происходит ли этот файл cookie в WSS или в формах проверки подлинности вообще.

Кто-нибудь знает, что делает файл cookie (или что делает /_vti_bin/Discovery.asmx, если на то пошло) и почему атрибут, кажется, не берется из web.config?

Answer 1

Содержимое файла cookie (WorkspaceSiteName, WorkspaceSiteUrl, WorkspaceSiteTime) предполагает, что он используется MS Office для запоминания недавно использованных рабочих областей SharePoint, чтобы он мог показать его вам, когда вы хотите сохранить документ MS Word например. Я не проверял это все же. По моему опыту, cookie имеет постоянный период 30 дней, что означает, что MS Office запоминает рабочие области, которые вы посетили за последние 30 дней.

Что касается вашей requireSSL=true записи в web.config, которая не была выбрана, в какую web.config вы поместили запись? web.config в корне вашего веб-сайта (в папке c:\inetpub\wwwroot\wss\virtualdirectories\<sitename>) является неправильным web.config! _vti_bin настроен как виртуальный каталог в IIS и соответствует физическому пути C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\14\isapi. В этом месте есть отдельный web.config.

Answer 2

При поиске в Google Discovery.asmx единственная подсказка, которую я получаю, заключается в том, что эта служба используется WIndows Live ID. Очевидно, он активен, даже если Live ID не является действительным поставщиком аутентификации, используемым на этом веб-сайте.

Вы могли бы попытаться заблокировать доступ к этому сервису, используя IIS напрямую? Просто откройте IIS manager и найдите сервис. Затем заблокируйте все внешние доступ к нему. Хотя, чтобы не знать, какие есть возможности в этом отношении (отключите всю аутентификацию или добавьте к ней правило перенаправления на страницу 404 ...)

P.S. Убедитесь, что это не создает реальной дыры / угрозы для безопасности.