asp.net - 是什么阻止了有人通过嗅探网络窃取和使用 asp.net 身份验证 cookie？

Question

我已经尝试搜索并找到了与此接近的问题，但我找不到一个真正详细说明这个确切问题的答案。

什么（如果有的话）阻止用户嗅探网络，获取站点发送给我的所有 asp.net 表单身份验证 cookie（或嗅探我发送到服务器的 cookie），在他们自己的浏览器中设置这些 cookie 和以经过身份验证的用户身份查看网站？

Answer 1

SSL 是唯一可以阻止它的东西。

Answer 2

从本质上讲，我认为没有任何本机机制可以防止您描述的情况。我认为这是 MS 建议 Forms Authentication cookie 具有非常有限的生命周期（设置较短的到期时间）并通过 SSL 进行通信的原因之一。