【发布时间】:2013-01-02 19:30:51
【问题描述】:
是否可以在 c# asp.net 站点的查询字符串中安全地包含密码。
我知道的一些假设和事情 -
- 该网站没有也不会有与其他网站的链接/图像/javascript/分析。因此,无需担心引荐链接。
- 与网络浏览器的所有通信都将通过 https。
- 我知道查询字符串将保留在 电脑。
- 不仅需要密码/用户名登录。如此简单 将网址粘贴回浏览器不会导致登录。
我知道该站点可能容易受到跨站点脚本和重放攻击。我该如何减轻这些?
鉴于上述情况,我应该如何在查询字符串中包含密码?
请不要问我“为什么”,我知道这不是一个好主意,但这是客户想要的。
【问题讨论】:
-
你为什么要这样做?
-
如果密码的有效期有限,您可能会减轻一些负面影响
-
如果你真的必须这样做,你可以用一个密钥来加密它。这样你就有了某种安全感
-
从黑客的角度来看,加密不会有任何区别,他们只需要 URL 历史记录就可以破解
-
@tom:好的,这意味着服务器是基于会话的?这反过来意味着查询字符串中不需要密码。请原谅我绕着圈子兜圈子,但这些要求并没有真正的意义,所以很难想出有意义的回应......
标签: c# asp.net encryption passwords query-string