Примечание. Это НЕ вопрос ASP.NET MVC, относящийся к атрибуту [RequireSSL]. Это совершенно другое - просто то же имя.

Аутентификация ASP.NET Forms имеетRequireSSL свойство, которое требует, чтобы файл cookie авторизации для членства в ASP.NET отправлялся только по SSL. Это сделано для того, чтобы кто-то не мог украсть куки (например, путем прослушивания по сети) и выдавать себя за пользователя.

Так что я'мне интересно - со всеми сознательными изменениями безопасности, внесенными MS (такими как созданиетолько печенья по умолчанию) почемуrequireSSL не дефолт?true

Считается ли обнюхивание печеньяneglibigle» риск безопасности?

Считается ли приемлемым риск оставить это ложным, если соединение фактически не позволяет мне получить доступ к безопасным / личным данным? Если это неприемлемо - как мне вернуть пользователя на http и все равно узнать, кто он?

Чтобы предотвратить захват и подделку файлов cookie для проверки подлинности форм во время пересечения сети, убедитесь, что вы используете SSL со всеми страницами, для которых требуется аутентифицированный доступ, и ограничьте билеты проверки подлинности форм для каналов SSL, установив requireSSL = "правда" на элементе.

Чтобы ограничить использование cookie-файлов для проверки подлинности форм каналами SSL

Установить requireSSL = "правда" на элемент, как показано в следующем коде.

Установив requireSSL = "правда"Вы устанавливаете свойство безопасного cookie, которое определяет, должны ли браузеры отправлять cookie обратно на сервер. Если установлено безопасное свойство, cookie-файл отправляется браузером только на защищенную страницу, запрашиваемую по URL-адресу HTTPS.

Примечание. Если вы используете сеансы без файлов cookie, вы должны убедиться, что билет проверки подлинности никогда не передается по незащищенному каналу.