我们正在开发一个用于股票市场交易的asp.net网络应用程序。我们需要一个高安全的应用程序不使用表格身份验证是否安全。 使用ssl,httponly cookie以及阻止xss用于安全应用程序是否足够?
我所知道的是;
在Forms身份验证中,有会话和身份验证cookie。 使用表单身份验证来破解Web应用程序有什么区别。如果黑客能够窃取会话cookie。它不是很难窃取auth cookie。为什么使用表单身份验证是安全的?(它只是偷了一个cookie吗?)
感谢。
答案 0 :(得分:0)
我自己进行研究-这个question似乎是使用表单身份验证时开箱即用的解决方案的症结所在,因为它并不完全安全,但是可以防止AUTH cookie的窃取。
尽管您可能会添加代码使其变得更难-这是一个复杂的问题,每个客户端没有真正独特的区别点,而现在可以使用正确的工具和其他攻击媒介轻松地复制它们。这也是一个用户问题,您是否愿意推动他们证明自己在从未设计用于保持状态的浏览器中的身份,这取决于您愿意发明/投资多少安全措施。
在使用Troy Hunts tuts学习攻击向量时,令人震惊的是,在几个众所周知的站点上进行尝试是如此容易,以及我所考虑的距离还有多远。
我认为使用表单身份验证的最佳建议是保持最新的OWASP Top 10问题,并尽可能避免或改用其他方法。
fyi:虽然这篇文章很旧,但是这是我在寻找相同内容时发现的第一篇。 我不是该领域的专家,其他人可以使用其他更安全的方法给出更好的答案,但希望该答案将对其他有类似问题的人有所帮助。