Примечание. Это НЕ вопрос ASP.NET MVC, относящийся к атрибуту [RequireSSL]. Это совершенно другое - просто то же имя.

Аутентификация ASP.NET Forms имеетRequireSSL свойство, которое требует, чтобы файл cookie авторизации для членства в ASP.NET отправлялся только по SSL. Это сделано для того, чтобы кто-то не мог украсть куки (например, путем прослушивания по сети) и выдавать себя за пользователя.

Поэтому мне интересно - со всеми сознательными изменениями безопасности, внесенными MS (такими как созданиетолько печенья по умолчанию) почемуrequireSSL не по умолчаниюtrue ?

Считается ли прослушивание файлов cookie угрозой безопасности?

Считается ли приемлемым риск оставить это ложным, если соединение фактически не позволяет мне получить доступ к безопасным / личным данным? Если это неприемлемо - как мне вернуть пользователя на http и все равно узнать, кто он?

Чтобы файлы cookie проверки подлинности форм не перехватывались и не вмешивались при пересечении сети, убедитесь, что вы используете SSL со всеми страницами, для которых требуется аутентифицированный доступ, и ограничьте билеты проверки подлинности форм для каналов SSL, установив requireSSL = "true" в элементе.

Чтобы ограничить использование cookie-файлов для проверки подлинности форм каналами SSL

Установите requireSSL = "true" для элемента, как показано в следующем коде.

Устанавливая requireSSL = "true", вы устанавливаете свойство защищенного cookie, которое определяет, должны ли браузеры отправлять cookie обратно на сервер. Если установлено безопасное свойство, cookie-файл отправляется браузером только на защищенную страницу, запрашиваемую по URL-адресу HTTPS.

Примечание. Если вы используете сеансы без файлов cookie, необходимо убедиться, что билет проверки подлинности никогда не передается по незащищенному каналу.