Posso rendere più sicuro il mio cookie ASP.NET FormsAuthentication associandolo all'ID di sessione?

Question

Abbiamo notato che è possibile ricreare una copia di un cookie ASP.NET FormsAuthentication su un'altra macchina, consentendo la seconda macchina per l'autenticazione senza dover effettuare il login.

Una soluzione possibile a questo è stato per memorizzare il ID sessione entro FormsAuthenticationTicket.UserData e per verificare che i due valori corrispondano all'interno di Application_AuthenticateRequest().

Stiamo usando:

FormsAuthenticationTicket.IsPersistent = false; 

È questo approccio di associare cookie di FormsAuthentication con l'ID di sessione una buona idea?

Answer 1

Penso che tu stia pensando troppo al problema. La possibilità di copiare un cookie è solo un problema intrinseco dei cookie: chiunque può intercettare qualsiasi cookie e impersonare qualsiasi dato ci sia, impostandolo su un'altra macchina.

La "sicurezza" del cookie di autenticazione viene dal fatto che nessuno può (presumibilmente) le imbarcazioni il cookie a mano di falsificare un utente autenticato. Tuttavia, una volta creato il cookie, ovviamente può essere utilizzato per l'autenticazione. Ciò significa che per far si che il tuo "problema" si verifichi, devi comunque avere un accesso utente valido per primo. Se quell'utente sta abusando del sistema copiando il suo cookie su altre macchine per consentire a tutti l'accesso, è esattamente la stessa cosa che l'utente dice semplicemente a tutti il ​​suo nome utente e password, tranne che in modo molto più ottuso. Pertanto, il problema non è la copia del cookie: è l'utente stesso.

Un altro vettore di attacco sarebbe se la rete è compromessa e qualcuno può intercettare il traffico per mettere insieme il cookie tramite uno sniffer o altro - ma ancora una volta, questo è inerente ai cookie stessi. Questo è chiamato Session Hijacking e l'unico modo per proteggersi è usare SSL per il tuo sito.

Se si è veramente preoccupati di ciò, impostarei il tempo di autenticazione e di sessione per essere lo stesso, quindi nel file global.asax, chiamare semplicemente FormsAuthentication.Signout() ogni volta che scade la sessione dell'utente. Ciò invalida l'autenticazione ogni volta che l'utente ha terminato la sessione, costringendoli ad accedere nuovamente in seguito. Naturalmente, questo potrebbe essere un fastidio estremo per gli utenti ...

vorrei anche consigliare vivamente This MSDN article. Probabilmente risponde alle tue domande molto meglio di me.