Tôi có thể làm cho cookie ASP.NET FormsAuthentication của tôi an toàn hơn bằng cách liên kết nó với ID phiên không?

Question

Chúng tôi nhận thấy rằng có thể tạo lại bản sao của cookie ASP.NET FormsAuthentication trên một máy khác, cho phép máy thứ hai xác thực mà không cần đăng nhập.

Một giải pháp được đề xuất cho điều này là lưu trữ ID phiên trong phạm vi FormsAuthenticationTicket.UserData và để kiểm tra xem hai giá trị có khớp với nhau trong Application_AuthenticateRequest() hay không.

Chúng tôi đang sử dụng:

FormsAuthenticationTicket.IsPersistent = false; 

Là cách tiếp cận này kết hợp Cookie FormsAuthentication với session ID là một ý tưởng tốt?

Answer 1

Tôi nghĩ rằng bạn đang đánh giá cao vấn đề. Khả năng sao chép cookie chỉ là vấn đề cố hữu của cookie - bất kỳ ai cũng có thể chặn bất kỳ cookie nào và mạo danh bất kỳ dữ liệu nào trong đó bằng cách thiết lập trên một máy khác.

"Bảo mật" của cookie xác thực xuất phát từ thực tế là không ai có thể (được cho là) ​​tạo cookie theo cách thủ công để giả mạo người dùng được xác thực. Tuy nhiên, một khi cookie được tạo ra, tất nhiên nó có thể được sử dụng để xác thực. Điều này có nghĩa là để "sự cố" của bạn xảy ra, trước tiên bạn vẫn cần có nhật ký người dùng hợp lệ. Nếu người dùng đó lạm dụng hệ thống bằng cách sao chép cookie của mình sang các máy khác để cung cấp cho mọi người quyền truy cập, điều đó hoàn toàn giống với người dùng chỉ cho mọi người biết tên người dùng và mật khẩu của cô ấy, ngoại trừ việc sử dụng nhiều hơn. Do đó, vấn đề không phải là việc sao chép cookie - chính là bản thân người dùng.

Một vector tấn công khác sẽ là nếu mạng bị xâm nhập và ai đó có thể chặn lưu lượng truy cập để ghép lại cookie thông qua trình thám thính hoặc bất kỳ thứ gì - nhưng lại một lần nữa, điều này vốn có với chính cookie. Điều này được gọi là Session Hijacking và cách duy nhất để bảo vệ chống lại điều này là sử dụng SSL cho trang web của bạn.

Nếu bạn đang thực sự lo lắng về nó, tôi chỉ cần thiết lập xác thực của bạn và thời gian chờ phiên là như nhau, và sau đó trong tập tin global.asax của bạn, chỉ cần gọi FormsAuthentication.Signout() bất cứ khi nào phiên của người dùng hết hạn. Việc này sẽ vô hiệu hóa xác thực bất cứ khi nào người dùng thực hiện phiên của họ, buộc họ phải đăng nhập lại sau. Tất nhiên, điều này có thể gây phiền toái cho người dùng của bạn ...

Tôi cũng rất muốn giới thiệu This MSDN article. Nó có thể trả lời câu hỏi của bạn tốt hơn rất nhiều so với tôi có thể.