ASP.NET会员是否受Firesheep保护?
问题描述:
我有一种印象,默认情况下,ASP.NET会员加密其Cookie。ASP.NET会员是否受Firesheep保护?
假设ASP.NET Membership防止会话劫持(ala Firesheep)是否相对安全?
答
ASP.NET会员使用与任何其他网站完全相同的机制,绝对易受Firesheep攻击。 Cookie本身无法以防止被劫持的方式进行加密。所有与服务器的通信都必须加密,以防止会话劫持,使用SSL或WEP无线加密。
答
该cookie是加密的,但这并不会阻止某人获得cookie本身的行为。
答
仅当整个会话使用HTTPS时。
firesheep不关心cookie的内容;它需要做的只是在攻击者的浏览器中复制cookie。
只要cookie以明文形式发送(而不是HTTPS或WPA),您仍然易受攻击。
感谢所有 - 对于整个会话SSL是:) – 2010-11-12 21:31:52