ASP.NET 表单例份验证和持久身份验证 Cookie 安全

Question

当我们在任何 ASP.NET 框架(ASP.NET MVC、Web 窗体等)中使用 ASP.NET 表单例份验证时，我们会在客户端浏览器中保留身份验证 cookie。作为最佳实践，我们将 cookie 设置为 HttpOnly 和安全。我们还通过 SSL 进行所有交易。无论我们使用何种机制来对用户进行身份验证(OAuth、ASP.NET Membership Provider 等)，我们仍然需要坚持身份验证以获得更好的用户体验。

有了所有这些，我假设有人仍然可以从客户端浏览器中获取 cookie 并使用这些 auth cookie 值发出请求。服务器无法检测到这一点，我们会将 protected 数据提供给其他人。

我想降低风险的一个想法是每次当他/她试图采取一些严肃的行动(例如更改电子邮件地址、访问个人资料信息等)时询问客户的密码，但这并不'解决任何问题，这对客户来说可能会很烦人。

对于此类问题，您是否有积极遵循的方法？或者在客户端浏览器中保留身份验证的最佳方式是什么？

Answer 1

你几乎做的一切都是为了和你在一起。

如果您使用的是成员(member)提供程序，那么该 cookie 将被标记为仅 HTTP(如您所说)，因此无法通过客户端脚本(例如恶意 XSS)访问它。

如果您已将 cookie 标记为安全，那么我假设您已将 forms auth 上的“RequireSSL”标志设置为 true。通过这样做，cookie 不会在任何不通过 HTTPS 发出的请求中发送到服务器，因此即使您不小心插入了 HTTP 请求(如果内容嵌入在HTTPS 页面)，则不会发送 cookie。

您唯一可以做的另一件事 - 这并不能在您已有的基础上提供太多防御，但这是一个很好的做法 - 就是也使用 HSTS。我在 OWASP Top 10 for .NET developers part 9: Insufficient Transport Layer Protection 中谈到了这个作为确保请求继续通过安全通道发送的额外手段。

如果不对成员(member)提供程序进行认真的重新设计，您真的无能为力。您可以将 session 绑定(bind)到一个 IP，如果它发生变化则不接受请求，但这可能会导致问题(即 IP 发生变化并且不能保护您免受同一地址上的多个人的影响)。您还可以创建浏览器的指纹(即请求 header 中发送的所有内容)并确保后续请求匹配，但我们将在此处详细介绍。

不过，归根结底，安全措施应该根据其所保护 Assets 的值(value)和恶意事件的可能性进行调整。你不会说 你要保护的是什么，但如果它是一个金融系统，你将比它是一个简单的博客评论引擎更努力。

总而言之，看起来您做得很好，只需考虑您所实现的措施是否适合您所保护的对象的值(value)。哦 - 如果您使用 SQL 成员身份提供程序进行凭据存储，请务必阅读 Our password hashing has no clothes然后停止这样做!