通过asp.net中的http发送敏感数据

时间:2012-11-12 07:08:53

标签: asp.net authentication passwords

我正在为ASP.NET网站编写一个基本的登录页面,我看到的所有教程基本上都解释了以下步骤:
1.使用用户名和密码文本框以及登录按钮创建表单 2.将登录按钮连接到将调用验证功能的事件,从这两个文本框传入数据 3.以某种安全的方式将这些文本框中的数据与数据库或其他地方的登录信息进行比较 4.向客户返回一些结果,或根据#3重定向。

我能找到的所有安全信息都是指#3中发生的事情。我担心的是从#1过渡到#2。这些数据不会以明文形式通过http帖子发送吗?有人只能运行tcp跟踪或wireshark(ethereal),检查数据包,并查看用户名和密码是否清楚?我必须购买SSL证书才能防止这种情况发生吗?在.net中是否有某些内容会以某种方式传递此信息,如果没有加密的话?

谢谢, RJ

1 个答案:

答案 0 :(得分:1)

Must I buy an SSL cert to prevent this?

是的,为了确保安全,您需要注意两件事。

  1. 页面必须超过ssl,因此必须安全地传输名称和密码。
  2. 凭据cookie也必须仅通过ssl,当然也是加密的。

    3. 更多阅读:
    Can some hacker steal the cookie from a user and login with that name on a web site?
    Different users get the same cookie - value in .ASPXANONYMOUS
    How serious is this new ASP.NET security vulnerability and how can I workaround it?

相关问题
最新问题