我们正在开发一个用于股票市场交易的 asp.net 网络应用程序。我们需要一个高度安全的应用程序。不使用表单身份验证是否安全? 使用 ssl、httponly cookie 和防止 xss 来实现安全应用是否足够?
我知道的是;
在表单身份验证中有会话和身份验证 cookie。 使用表单身份验证破解 Web 应用程序有什么区别。如果黑客能够窃取会话 cookie。窃取 auth cookie 并不难。为什么使用表单身份验证是安全的?(它只是又偷了一个 cookie 吗?)
谢谢。
【问题讨论】:
标签: asp.net forms security authentication
在我自己的研究中——这个question 似乎是使用表单身份验证时开箱即用的解决方案的关键,因为它并不完全安全,但如果你可以防止窃取 AUTH cookie。
虽然您可能会添加代码以使其更难 - 这是一个复杂的问题,每个客户端没有真正独特的差异点,目前可以使用正确的工具和其他攻击媒介轻松复制。这也是一个用户问题,你愿意在多大程度上推动他们证明他们在一个从未设计用于保持状态的浏览器中的身份 - 这归结为你愿意发明/投资多少安全措施。
在使用 Troy Hunts tuts 学习攻击向量时,在少数知名网站上尝试它是多么容易,而我认为它落后了多远,这真是令人震惊。
如果使用表单身份验证,我想最好的建议是及时了解当前的OWASP Top 10 问题并尽可能防止,或者改用其他方式。
fyi:虽然这篇文章很旧,但这是我在寻找相同内容时发现的第一个。 我不是该领域的专家,其他人可以给出更好的答案来使用其他更安全的东西,但希望这个答案能帮助其他有类似问题的人。
【讨论】: