Uwaga: NIE jest to pytanie ASP.NET MVC związane z atrybutem [RequireSSL]. To zupełnie inne - po prostu ma tę samą nazwę.

Uwierzytelnianie formularzy ASP.NET maRequireSSL właściwość, która wymaga, aby cookie uwierzytelniania dla członkostwa ASP.NET było wysyłane tylko przez SSL. Ma to na celu uniemożliwienie komuś kradzieży ciasteczka (np. Przez wąchanie sieci) i podszywanie się pod użytkownika.

Zastanawiam się więc - przy wszystkich zmianach świadomości bezpieczeństwa dokonanych przez MS (takich jak dokonywanieTylko pliki cookie domyślnie) dlaczegorequireSSL domyślnie nietrue ?

Czy wąchanie plików cookie jest uważane za zagrożenie dla bezpieczeństwa?

Czy uważa się za dopuszczalne ryzyko pozostawienia go fałszywego, chyba że połączenie rzeczywiście pozwala mi uzyskać dostęp do bezpiecznych / osobistych danych? Jeśli nie jest do zaakceptowania - jak mam przywrócić użytkownika do http i nadal wiedzieć, kim oni są?

Aby uniemożliwić przechwytywanie i manipulowanie plikami cookie z uwierzytelnianiem formularzy podczas przechodzenia przez sieć, należy upewnić się, że używany jest protokół SSL ze wszystkimi stronami, które wymagają uwierzytelnionego dostępu i ograniczają bilety uwierzytelniania formularzy do kanałów SSL, ustawiając w elemencie requireSSL = „true”.

Aby ograniczyć uwierzytelnianie plików cookie formularzy do kanałów SSL

Ustaw requireSSL = „true” na elemencie, jak pokazano w poniższym kodzie.

Ustawiając requireSSL = „true”, ustawiasz właściwość bezpiecznego pliku cookie, która określa, czy przeglądarki powinny wysyłać plik cookie z powrotem na serwer. Dzięki bezpiecznemu zestawowi właściwości plik cookie jest wysyłany przez przeglądarkę tylko na bezpieczną stronę, która jest żądana przy użyciu adresu URL HTTPS.

Uwaga: Jeśli używasz sesji Cookieess, musisz upewnić się, że bilet uwierzytelniania nigdy nie jest przesyłany przez niezabezpieczony kanał.