wie kann ich eine asp.net Sitzung zwischen http und https

Ich gelesen, dass eine Seite, die läuft unter einer https-Verbindung nicht teilen kann, einen InProc-Session (basierend auf cookies), mit einer anderen Seite (oder die gleiche, für diese Angelegenheit) unter normales http. Meine Website läuft auf Server 2003, IIS 6 und .Net 2.0.

Nach einigen Experimenten scheint es, dass eine Seite, die speichert die Daten in der session, während die Verbindung über https, KANN später auf die Daten zugreifen, selbst wenn unter plain-http.

Also ist es möglich oder sollte ich gehen über und suchen Sie nach Fehlern in der SSL-Konfiguration?

InformationsquelleAutor Manu | 2009-02-19
  1. 15

    Vom MSDN:

    Wenn ein Benutzer hin und her bewegt
    zwischen sicher und öffentlichen Bereiche, die
    ASP.NET-generierte session-cookie (oder
    URL wenn Sie aktiviert haben cookie weniger
    session state) bewegt sich mit Ihnen in
    Klartext, aber die Authentifizierung
    cookie ist nie vorbei
    unverschlüsselte HTTP-verbindungen so lange
    als Sicheres cookie-Eigenschaft festgelegt ist    .

    Also im Grunde, wird das cookie übergeben werden kann sowohl über HTTP und HTTPS, wenn der Secure Eigenschaft false.

    Habe ich es vermieden, dieses Problem durch das hinzufügen dieser zu meinem Global.asax Datei:

    void Session_Start(object sender, EventArgs e) 
{
    if (Request.IsSecureConnection) Response.Cookies["ASP.NET_SessionID"].Secure = false;
}

    Dies bedeutet, dass, wenn das Session-cookie wird erstellt, über HTTP, es wird nur zugänglich sein, die über HTTPS.

    • Was sind die Konsequenzen für die Sicherheit der wenn Sie diese Option deaktivieren?
    InformationsquelleAutor John Rasch
  2. 5

    IIS-Einstellung
    In der IIS-Eigenschaften-Fenster, unter dem die ASP-tab –> Session-Properties gibt es eine Einstellung für "Neue ID auf Sichere Verbindungen"

    Ich fest das intermittierende Problem für mich durch diese Einstellung auf false.

    • Dies scheint Weg zu sein im IIS7 - oder vielleicht bin ich einfach nicht klar, wo dieser zu finden wäre. Ist das pro Seite oder global auf den server?
    • In IIS 7 gibt es eine "Session State" - Symbol unter "ASP.NET', so dass, wenn das ist, wo Sie suchen, Sie sind an der richtigen Stelle -- und ja, Sie sind richtig; die Einstellung ist Weg.
    InformationsquelleAutor Holt Mansfield
  3. 1

    Suche nach dem problem auftauchen nicht viel geredet wird, so weit, immer noch auf der Suche.

    Bearbeiten: okay finden, einige Sachen jetzt.

    Recht, es scheint, dass es funktioniert gut, wenn beide Sätze von Seiten in der gleichen Anwendung/website.

    Ich würde also gehen Sie voran und tragen dazu bei, das Gefühl beruhigt.

    InformationsquelleAutor Iain M Norman
  4. 1

    Wenn einer der oben genannten Lösung nicht funktioniert, versuchen Sie dies. Ich geknackt haben, diese nach Recherchen von ein paar Tagen.

    app.UseCookieAuthentication(new CookieAuthenticationOptions
{
    ...
    ...
    CookieSecure = CookieSecureOption.Never
});
    InformationsquelleAutor Muhammad Raheel
Schreibe einen Kommentar