0

我在 MSDN 中读到,当您的网站没有激活 SSL 时,将slidingExpiration 设置为 false。这是为了限制劫持者使用被盗 authcookie 的时间。

但这没有任何意义。当没有 SSL 时,黑客可以自己获取凭据并使用它们。当他/她可以访问用户名/密码时,他/她为什么要窃取 cookie?

我想说slidingExpiration 与 enabledSSL 无关。

4

1 回答 1

1

当他/她可以访问用户名/密码时,他/她为什么要窃取 cookie?

是什么让您认为他可以访问用户名/密码?只有用户名存在于加密表单身份验证 cookie 中。所以他窃取的是cookie,而不是用户名或密码。他无法解密它(除非他使用蛮力),因此他无法获取原始用户名,也无法更改此用户名。由于此 cookie 中甚至不存在密码,因此他无法获得密码。因此,如果此 cookie 激活了滑动过期,只要它有效,他就可以使用它。

但总的来说,如果您关心安全性,您应该始终使用 SSL。

于 2012-05-21T07:54:50.143 回答