有些黑客可以从用户那里窃取cookie并在网站上使用该名称登录吗?读这个问题不同的用户在aspxanonymous中获得相同的cookie值并且我开始思考,如果某个人可以通过某种方式真正窃取cookie,然后将其放在他的浏览器上,登录就可以说是管理员了。您是否知道表单身份验证如何确保即使cookie被存储,黑客也不会使用它进行实际登录?或者你知道其他任何自动防御机制吗?先谢谢你。
3 回答
慕村225694
TA贡献1880条经验 获得超4个赞
可以在公共无线环境中发生cookie被盗的情况。虽然您或我永远不会在这样的设置中运行,但可能无法阻止您的客户这样做。
如果攻击者知道您所连接的安全站点,那么您的浏览器可能会被欺骗发布到同一URL的非安全版本。那时你的cookie被泄露了。
这就是为什么除了httpOnlyCookies你想要指定requireSSL="true"
<httpCookies httpOnlyCookies="true" requireSSL="true" />
我不同意The Rook的评论,因为我认为这是不公平的;
@Aristos我更新了我的答案。但说实话,如果您使用的是Microsoft开发平台,那么您的应用程序本质上就是不安全的。 - 22分钟前的车
安全不是偶然发生的,它不会“开箱即用”,至少不是我的经验。没有什么是安全的,除非它被设计成这样,无论平台或工具如何。
添加回答
举报
0/150
提交
取消