Tôi đang làm việc về vấn đề này và tôi nảy ra ý tưởng, rằng tôi không chắc chắn liệu nó có an toàn 100% hay không, nhưng là một ý tưởng.
Ý tưởng của tôi là mỗi người dùng phải vượt qua từ trang đăng nhập.
Nếu một ai đã đánh cắp cookie, không vượt qua trang đăng nhập, nhưng là đi trực tiếp vào bên trong để các trang còn lại. Anh không thể vượt qua trang đăng nhập, vì không biết thực sự mật khẩu, vì vậy nếu anh vượt qua ông thất bại nào.
Vì vậy, tôi đặt một giá trị phiên bổ sung, mà người dùng đã vượt qua thành công với trang đăng nhập. Bây giờ bên trong mỗi trang quan trọng, tôi kiểm tra giá trị phiên bổ sung và nếu tìm thấy nó null, tôi đăng nhập và yêu cầu một lần nữa cho mật khẩu.
Bây giờ tôi không biết, có thể tất cả những việc đó đã được thực hiện bởi microsoft, cần phải kiểm tra thêm.
Để kiểm tra ý tưởng này tôi sử dụng chức năng này mà đạo làm cho một người dùng đăng nhập.
FormsAuthentication.SetAuthCookie("UserName", false);
an ninh thứ hai của tôi rằng tôi có tất cả các sửa chữa sẵn sàng và sử dụng, là tôi kiểm tra ip khác nhau và hoặc cookie khác nhau từ cùng một người dùng đã đăng nhập. Tôi đã thực hiện nhiều suy nghĩ về điều đó, nhiều kiểm tra (nếu là đằng sau proxy, nếu là từ các quốc gia khác nhau, những gì đang tìm kiếm, bao nhiêu lần tôi đã nhìn thấy anh ta, vv ...) nhưng đây là ý tưởng chung.
This video hiển thị chính xác những gì tôi cố gắng ngăn chặn. Bằng cách sử dụng mẹo tôi đã mô tả ở đây, bạn không thể chỉ đặt cookie đăng nhập.
Chỉ cần chia sẻ ý tưởng của tôi ...
câu hỏi tương tự: http://stackoverflow.com/questions/3720720/how-serious-is-this-new-asp-net-security-vulnerability-and-how -can-i-workaround – Aristos