Nota: Esta não é uma questão da ASP.NET MVC relacionada ao atributo [RequireSSL]. Isso é completamente diferente - só tem o mesmo nome.

A autenticação de formulários ASP.NET tem oRequireSSL propriedade que requer que o cookie de autenticação para a associação do ASP.NET seja enviado apenas por SSL. Isso é para impedir que alguém roube o cookie (por exemplo, por sniffing de rede) e se passar por um usuário.

Então, eu estou pensando - com todas as mudanças conscientes de segurança MS fez (como fazercookies httpOnly padrão) por querequireSSL não padronizado paratrue ?

O cookie sniffing é considerado um risco de segurança 'neglibigle'?

É considerado um risco aceitável deixá-lo falso, a menos que a conexão realmente me permita acessar dados pessoais / seguros? Se não for aceitável - como devo devolver um usuário a http e ainda saber quem ele é?

Para impedir que os cookies de autenticação de formulários sejam capturados e adulterados ao atravessar a rede, assegure-se de usar SSL com todas as páginas que exigem acesso autenticado e restringir os tíquetes de autenticação de formulários a canais SSL configurando requireSSL = "true" no elemento.

Para restringir cookies de autenticação de formulários a canais SSL

Configure requireSSL = "true" no elemento, conforme mostrado no código a seguir.

Ao definir requireSSL = "true", você define a propriedade do cookie seguro que determina se os navegadores devem enviar o cookie de volta ao servidor. Com o conjunto de propriedades seguras, o cookie é enviado pelo navegador somente para uma página segura solicitada usando um URL HTTPS.

Nota: Se você estiver usando sessões sem cookies, deverá assegurar-se de que o ticket de autenticação nunca seja transmitido através de um canal desprotegido.