Я использую VSTS 2008 + C# + .Net 3.5 + IIS 7.0 + ASP.Net. В моем понимании аутентификации форм, переменной сеанса (используется для идентификатора аутентификации, то есть когда пользователь прошел аутентификацию, у пользователя будет такая переменная сеанса, а переменная сеанса будет реализована как файл cookie) для аутентифицированного пользователя.Ошибка безопасности аутентификации форм
Моя забота об этом режиме - каждый раз, когда пользователь получает доступ к странице на веб-сайте, переменная сеанса будет передана на сервер. Он может быть ослаблен хакером, и хакер может использовать такую переменную сеанса, чтобы претендовать на роль конечного пользователя? Это риск для безопасности?
Если это риск для безопасности, то мы должны постоянно использовать https с помощью проверки подлинности с помощью форм?
спасибо заранее, Джордж
Я хочу подтвердить с вами каждый раз, когда одна и та же переменная сеанса, используемая для проверки подлинности форм, будет использоваться каждый раз при использовании запроса инициализации страницы на веб-сайт? Если это не одно и то же время (например, каждый раз, когда используется случайное значение), я думаю, что все в порядке. – George2
Я не думаю, что все одно и то же время, но я посмотрю. –
Если каждый запрос будет использовать другое число, я думаю, что это не должно быть угрозой безопасности? Потому что, даже если вы снижаете значение сеанса за это время, в следующий раз после изменения значения значение, уменьшенное в прошлый раз, не будет полезно. Любые комментарии? – George2