У нас есть внешнее приложение, которое было проверено на прочность внешней охранной компанией. Приложение разработано на ASP.NET MVC4 и работает на сервере IIS8/Windows 2012 Server.Безопасный флаг для ASPXAUTH Cookie
Одна из указанных уязвимостей - ASPXAUTH не является безопасным. Когда я проверил инспектор файлов cookie, есть куки с флагом Secure. Но ASPXAUTH не был одним из них.
Я сделал несколько исследований, и установить эти флаги ниже на web.config
<forms loginUrl="~/Account/Login" timeout="2880" requireSSL="" name="AppName" />
и
<httpCookies httpOnlyCookies="true" requireSSL="true" />
Несмотря на эти параметры, куки аутентификации не помечен как безопасный. Я предположил, что этих флагов должно быть достаточно, чтобы отмечать файлы cookie приложений как защищенные, но есть несколько других файлов cookie, которые также не помечены как безопасные. Я не слишком беспокоюсь о них, так как они не содержат никакой конфиденциальной информации. Но я хотел бы отметить ASPXAUTH как безопасный.
Мои вопросы,
- С этими флагами на web.config, оказывает ASPXAUTH без безопасного флага проблема безопасности?
- Если да, не могли бы вы сказать мне, что правильный способ - отметить его как безопасный.
спасибо.
@AnarchistGreek, не работает против AppScan от IBM. Он по-прежнему утверждает, что файл cookie не безопасен. –
Вижу, ваш код нужно редактировать. Оператор foreach должен получить доступ к Request.Cookies вместо Response.Cookies. –