Por que o padrão da propriedade requireSSL do FormsAuthentication é false!
Nota: Esta não é uma questão da ASP.NET MVC relacionada ao atributo [RequireSSL]. Isso é completamente diferente - só tem o mesmo nome.
A autenticação de formulários ASP.NET tem oRequireSSL propriedade que requer que o cookie de autenticação para a associação do ASP.NET seja enviado apenas por SSL. Isso é para impedir que alguém roube o cookie (por exemplo, por sniffing de rede) e se passar por um usuário.
Então, eu estou pensando - com todas as mudanças conscientes de segurança MS fez (como fazercookies httpOnly padrão) por querequireSSL
não padronizado paratrue
?
O cookie sniffing é considerado um risco de segurança 'neglibigle'?
É considerado um risco aceitável deixá-lo falso, a menos que a conexão realmente me permita acessar dados pessoais / seguros? Se não for aceitável - como devo devolver um usuário a http e ainda saber quem ele é?
Para impedir que os cookies de autenticação de formulários sejam capturados e adulterados ao atravessar a rede, assegure-se de usar SSL com todas as páginas que exigem acesso autenticado e restringir os tíquetes de autenticação de formulários a canais SSL configurando requireSSL = "true" no elemento.
Para restringir cookies de autenticação de formulários a canais SSL
Configure requireSSL = "true" no elemento, conforme mostrado no código a seguir.
Ao definir requireSSL = "true", você define a propriedade do cookie seguro que determina se os navegadores devem enviar o cookie de volta ao servidor. Com o conjunto de propriedades seguras, o cookie é enviado pelo navegador somente para uma página segura solicitada usando um URL HTTPS.
Nota: Se você estiver usando sessões sem cookies, deverá assegurar-se de que o ticket de autenticação nunca seja transmitido através de um canal desprotegido.