我在MSDN中读到,当您的网站未激活SSL时,请将slidingExpiration设置为false。这是为了限制劫持者使用被盗的authcookie的时间。
但这没有任何意义。当没有SSL时,黑客可以自己获取凭证并使用它们。当他/她可以访问用户名/密码时,为什么他/她会窃取cookie?
我想说slideExpiration与enabledSSL无关。
答案 0 :(得分:1)
为什么他/她在访问用户名/密码时会窃取cookie?
是什么让你认为他有权访问用户名/密码? 仅加密表单身份验证Cookie中存在用户名。所以他窃取的是cookie,而不是用户名或密码。他无法解密(除非他使用蛮力)因此他无法获取原始用户名,也无法更改此用户名。由于密码甚至不存在于此cookie中,因此他无法获得密码。因此,如果此cookie已激活滑动过期,只要它有效,他就可以使用它。
但总的来说,如果您关心安全性,则应始终使用SSL。