@ slauma'nın bağlantı yanıtıyla (here dahil) @ reach4thelasers tarafından yazılan yanıta çarptığımda bu SO question okuyordum. ASP.NET'in formları kimlik doğrulamasının nasıl genişleyeceği ve uzak makine anahtarının yaklaşık yarım saat içinde nasıl toplanacağı hakkında bir blog yazısı.ASP.NET Formlar Kimlik Doğrulama Güvenlik Açıkları
Blog yayınında, yalnızca bazı belirli şeyleri yapmadıysanız mümkün olduğunu belirten bazı yanıtlar vardı, ancak bu belirli şeylerin ne olduğu konusunda net olmadım (özel bir hata sayfasıyla ilgili bir şey, ancak video herhangi bir hata sayfasına isabet etmedi). Ayrıca, MS'nin bu tür saldırılardan kaçınmak için tavsiyeleri olduğunu da belirtti, ancak tavsiyenin bir bağlantısı yoktu.
Yani, ilk önce, yukarıda bahsedilen gibi istismarı önlemek için bir ASP.NET formları kimlik doğrulama sistemi geliştirirken, neyin gerekli olduğunu açık birileri açıklayabilir mi? İkinci olarak, belirli bir en iyi uygulamanın (varsayılan olarak uygulanmayan) azaltılmasını veya önlenmesini sağlayan ASP.NET'te bilinen herhangi bir iyi bilinen yöntem var mıdır? Finansal veriler içeren bir kamu sitesi yapıyorum, bu yüzden bu benim için ciddi bir endişe kaynağı.
Bunun hakkında konuştuğunuza inanıyorum: http://stackoverflow.com/questions/3720720/how-serious-is-this-new-asp-net-security-vulnerability-and-how-can-i-workaround – Aristos
Ve benzer bir soru benden http://stackoverflow.com/questions/2498599/can-some-hacker-steal-the-cookie-from-a-user-and-login-with-that-name-on- a-web-s – Aristos
Mükemmel. Linkler için teşekkürler. –