Flag sicuro per ASPXAUTH Cookie in MVC

Naviga le tue risposte
4

Abbiamo un'applicazione sviluppata con ASP.NET MVC3. Test di penetrazione eseguito da uno strumento AppScan di IBM.

Il problema è stato segnalato ed era ASPXAUTH non sicuro. Quando ho controllato gli strumenti di sviluppo del browser, ci sono alcuni cookie con flag di sicurezza. Ma ASPXAUTH non era uno di questi.

HogiàinclusolarigadicodicesottonelfileWeb.Config.

<httpCookiesrequireSSL="true"/>

Nota: non stiamo utilizzando l'autenticazione basata su moduli per l'accesso.

Qual è il modo corretto per contrassegnare ASPXAUTH come sicuro?

    
posta Ask_SO 13.10.2017 - 13:14
fonte

2 risposte

1

Ho intenzione di azzardare un'ipotesi e di dire che questo flag nella tua configurazione è stato ignorato:

Guardando il link si dice che "Questa impostazione è sovrascritta da altra funzione che espone la configurazione requireSSL "

Un modo per assicurarti che sia impostato sarebbe farlo in codice dedicato.

Questa risposta sull'overflow dello stack ha un esempio

Fondamentalmente prima che la risposta sia completa in protected void Application_EndRequest(Object sender, EventArgs e) in Global.asax tu controlli il cookie corretto e imposta la proprietà .Secure a true

    
risposta data 13.10.2017 - 13:57
fonte
0

Controllalo dal MSDN

To prevent forms authentication cookies from being captured and tampered with while crossing the network, ensure that you use SSL with all pages that require authenticated access and restrict forms authentication tickets to SSL channels by setting requireSSL="true" on the element.

    
risposta data 13.10.2017 - 14:30
fonte

Leggi altre domande sui tag

SRP o WebCrypto challenge? Accesso alle camme IP da WAN con VPN attive sul router [chiuso]