W tej chwili ponownie uwzględniam jedną z moich aplikacji internetowych i miałem nadzieję na porady dotyczące poprawy mojego bezpieczeństwa.Zabezpieczanie uwierzytelniania opartego na plikach cookie
Będę pamiętać, że aplikacja jest w ASP.net, a obecna implementacja uniemożliwia mi korzystanie ze zintegrowanego uwierzytelniania. Nie jest to również aplikacja, która wymaga wysokiego poziomu bezpieczeństwa, po prostu lubię objąć moje bazy.
W przeszłości zapisałem identyfikator i token. Token to skrót nazwy użytkownika + sól użytkownika (ponowne wykorzystanie wartości z informacji o autorze) Gdy użytkownik odwiedza witrynę, identyfikator jest sprawdzany na podstawie tokena i automatycznie uwierzytelniany.
Wydaje mi się, że jest tu wielka dziura. Teoretycznie, jeśli ktoś dostanie wartość solą, wszystko, co trzeba zrobić, to odgadnąć algorytm mieszania i przeglądać możliwe identyfikatory, dopóki nie wejdą. Nie spodziewam się, że tak się stanie, ale nadal wydaje się błędem .
Wszelkie porady dotyczące prawidłowego potwierdzenia, że pliki cookie użytkownika nie zostały zmienione?
Dodam, że częścią tego, co mnie martwi, jest to, że jeśli ktoś uzyskałby wartości soli i skróty haseł do strony, to nie zrobiłoby to nic dobrego z czystym uwierzytelnianiem hasłem. Wydaje mi się, że dobra metoda uwierzytelniania plików cookie działałaby w podobny sposób. –