我希望将SSL置于适当的位置以防止对我们网站的cookie重播攻击。
该网站正在使用.NET表单身份验证。我只需要为登录页面启用SSL,还是需要安全的表单身份验证背后的每个页面?
感谢
答案 0 :(得分:1)
您需要为每个页面启用SSL,其中指示浏览器发送身份验证票证cookie。默认情况下,这意味着您网站上的每个页面,但在将Cookie写入浏览器时,您可以指示它仅通过HTTPS发送或将其限制为某些路径。
但一般来说,这意味着SSL会保护您网站上的每个网页,而不仅仅是您的登录网页。
答案 1 :(得分:0)
.Net网站transfer non only the viewstate but any cookies back to the server。这会影响您的安全性,因为使用firesheep(或类似工具)的人可以轻松获取身份验证cookie,而不是登录时,但是当用户通过按下按钮回复,或者将ajax事件多个页面放入应用程序时。
如果您有权访问IIS,则不仅可以启用SSL使用but force it。