ASP.Net MVC3 및 IIS 7.0을 사용하고 있습니다. 내 사이트에서 https (requireSSL = "true")를 통해 양식 인증을 구현했습니다. .ASPXAUTH 쿠키에 대해 만료일 (예 : 5 일)을 설정했습니다. 모두 잘 작동하지만 한 브라우저에서 성공적으로 로그인 한 후에 쿠키 (. 문제없이)를 다른 브라우저 또는 다른 컴퓨터에 복사하고 로그인 및 비밀번호없이 내 사이트에 입력 할 수 있습니다.ASP.NET MVC 3 폼 인증 보안 위험
브라우저 나 로그인 암호를 입력 한 컴퓨터에서만 사이트로 이동할 수 있으며 .ASPXAUTH 쿠키를 복사 한 다른 브라우저에서 액세스 할 수 없습니까? 사전에
감사합니다, Olexiy
사용자가 이미 로그인되어 있고 웹 브라우저를 통해 사이트에 액세스하는 컴퓨터에 액세스하는 것보다 보안 상 위험 할 수 있습니다. 쿠키를 얻을 수있는 권한이 있다면 웹 브라우저에 액세스하여 들어올 수 있습니다. 위험은 쿠키를 복사하지 않는 것으로 보입니다. 쿠키에 대한 만료 기간이 길다는 위험이 있습니다. –
감사합니다. 그러나 예를 들어, Google은 Gmail에이 기능을 구현했습니다. 그들이 어떻게했는지 아십니까? –
Google은 모든 애플리케이션 및 타사 애플리케이션에 OAuth 및 OpenID를 사용합니다. Google 계정에 계속 로그인 할 수는 있지만 쿠키를 복사 할 수 없음을 확인하지 않았습니다. Google 계정에서 쿠키를 복사 할 수 없다면 아마도 @ Zoltan과 같은 기술을 사용하고있을 것입니다. 그러나 I와 Dimitrov는 쿠키를 복사 할 위험이 없다고 말했습니다. –