ASP.NET Sicherung Cookies auf HTTP-und HTTPS

Ich habe eine Website, die sowohl HTTP-als auch HTTPS-Seiten.

Habe ich versucht, das folgende zu machen cookies sicher:

  • Web.config <httpCookies requireSSL="true" /> mit Formular-Authentifizierung.
  • Zwingen cookie, um sicher zu Application_End

In beiden Gehäuse-Seiten funktionieren nicht mit HTTP. Ich denke, obige Lösung funktioniert nur, wenn alle Seiten, die HTTPS verwenden.

Wie gelöst, dieses Rätsel?

  • Gibt es einen Grund, dass Sie nicht alle Seiten mit HTTPS?
InformationsquelleAutor user1029468 | 2013-08-02
  1. 8

    Den ganzen Punkt ein cookie gesetzt, als 'sicher' ist, dass es nur übertragung über https; die http-Seiten wird nicht eine Kopie davon erhalten. Von Wikipedia:

    Ein Sicheres cookie hat die secure-Attribut aktiviert und ist nur über HTTPS, sicherzustellen, dass das cookie immer verschlüsselt bei der übertragung vom client zum server. Dies macht das cookie weniger wahrscheinlich ausgesetzt werden, um cookie-Diebstahl über Lauschangriffe.

    Wenn Sie möchten, verwenden Sie ein Sicheres Plätzchen, die Sie benötigen, um sicherzustellen, dass alle Seiten, die https verwenden.

    • Ich habe beschränken - ich kann nicht verschieben Sie alle Seiten in https. Gibt es eine Möglichkeit, um dieses Problem zu beheben oder alternative?
    • Leider nicht; Ihre http-Seiten nicht bekommen wird das cookie zwar gesetzt wird als 'sicher'. Der einzige Weg ist für die sichere Einstellung entfernt werden.
    • Sie könnte, am Stück, eine normale, unsichere cookie verschlüsseln Sie die Daten hinein, und auch verschlüsseln einige origin-bezogenen Informationen (beispielsweise die IP-Adresse Anfragen kommen sollte). Aber das ist noch abgefangen - beispielsweise, wenn ein Angreifer es schafft, auf der gleichen Netzwerk - und die Ursprungs-IP-Adresse ändern könnte, was zu weiteren Problemen. Nicht zu erwähnen, dass es wohl nicht passieren, security audits.
    InformationsquelleAutor Adrian Wragg
  2. 3

    Die Frage: , Wie dieses Problem gelöst puzzle , erfordert eine Analyse der Anforderungen und sehen, ob es besser wäre die Verwendung von https für die gesamte website oder eine Kombination von http - & https.

    , Da Sie auch Fragen, für eine alternative in einem der obigen Kommentare, ich hoffe, die nachstehenden Informationen können Ihnen helfen zu entscheiden, auf alternativen.

    Hintergrund:

    Grundsätzlich verwenden Sie http für alle Inhalte der Seiten, die haben nichts zu tun mit sensiblen Daten und https auf die Seiten, die sensible Daten.
    Viele Male haben wir nicht, lieber die Verwendung von https für die gesamte website, als die Daten, dass Reisen mehr ist und es braucht Zeit, um zu verschlüsseln und zu entschlüsseln , wodurch das hinzufügen, um die tatsächliche Zeit, die es braucht, um zu laden/anzeigen einer Seite.

    Allerdings gibt es Argumente gegen diese gemeinsamen Begriff und finden Sie auch Ermutigung für die Verwendung von https für Ihre gesamte website. Überprüfen Sie dies: Wie implementieren HTTPS nur auf einen Teil der website?

    Und, JA, sichere cookies können nur verwendet werden https Seiten.

    Einige Vorschläge

    • Wie ist das relevant für die Frage? Ernsthaft?
    • Er kann es nicht verwenden sichere cookies auf http-Seite. Am Ende fragte er, wie zu lösen dieses Rätsel?. So wird Es gut sein, ihm zu helfen, denken Sie und sehen, was genau die Anforderung ist und dass er behoben werden kann dieses puzzle so, dass er entweder verwenden https als ganzes oder eine Kombination, anstatt zu versuchen, Abfälle für den Zugriff auf sichere cookies auf http-Seite.
    • Auch in einem der obigen Kommentare user erwähnt, dass es nicht möglich für ihn zu https verwenden auf der gesamten website. Und das TAT ER FRAGTE nach ALTERNATIVEN. also ich habe gerade versucht zu geben .
    • Meine aufrichtige Entschuldigung Freund, wenn ich beleidigt in keiner Weise. Ich wollte nur helfen die user bekommen Klarheit über seine alternative Optionen zur Verfügung, so verlangte er das gleiche.
    InformationsquelleAutor R.C
Schreibe einen Kommentar