W tworzeniu stron internetowych, gdy włączony jest stan sesji, identyfikator sesji jest przechowywany w pliku cookie (w trybie cookieless zamiast tego używany będzie ciąg zapytania). W asp.net, identyfikator sesji jest szyfrowany automatycznie. W Internecie jest wiele tematów dotyczących sposobu szyfrowania plików cookie, w tym identyfikatora sesji. Rozumiem, dlaczego chcesz szyfrować prywatne informacje, takie jak DOB, ale żadne prywatne informacje nie powinny być przechowywane w ciasteczkach na pierwszym miejscu. Więc dla innych wartości cookie, takich jak identyfikator sesji, jakie jest szyfrowanie celu? Czy to w ogóle zwiększa bezpieczeństwo? bez względu na sposób zabezpieczenia, zostanie odesłany do serwera w celu odszyfrowania.Czy szyfrowanie identyfikatora sesji (lub innej wartości uwierzytelnienia) w pliku cookie jest w ogóle użyteczne?
Bądź być bardziej szczegółowe,
Dla celów uwierzytelniania
- wyłączyć sesji, i nie chcą zajmować się w czasie sesji na zewnątrz dłużej
- sklepu jakaś wartość w id ciasteczko, po stronie serwera, sprawdź, czy wartość id istnieje i pasuje, jeśli jest, uwierzytelnia użytkownika.
- pozwól, aby wartość cookie wygasała po zakończeniu sesji przeglądarki, w ten sposób.
vs
Asp.net mechanizm uwierzytelniania forma (opiera się na sesji lub identyfikator sesji, myślę)
robi ostatnie jedna oferta lepsze bezpieczeństwo?
Co masz na myśli przez szyfrowanie? – Gumbo
Mam na myśli jakąś symetryczną metodę, taką jak AES lub TDES – JiJ