Czytałem to SO question, kiedy uderzyła mnie odpowiedź linku @ Slauma (zawierająca here) do wybranej odpowiedzi napisanej przez @ reach4thelasers. Jest to post na blogu o tym, jak szeroko złamać uwierzytelnianie formularzy ASP.NET i zebrać klucz komputera zdalnego w ciągu około pół godziny.Luki w uwierzytelnianiu formularzy ASP.NET Forms:
Było kilka odpowiedzi na wpis na blogu, które wspomniały o tym, że było to możliwe tylko wtedy, gdy nie robiłeś pewnych konkretnych rzeczy, ale nie miałem jasności co do tych konkretnych rzeczy (coś o stronie błędów niestandardowych, ale wideo nie trafił na żadną stronę błędu). Wspomniał także, że MS ma zalecenia dotyczące unikania tego rodzaju ataków, ale nie było związku z zaleceniem.
Po pierwsze, czy ktoś może jasno wytłumaczyć, co jest konieczne, przy opracowywaniu systemu uwierzytelniania formularzy ASP.NET, aby zapobiec takim operacjom, jak wspomniano powyżej?
Po drugie, czy istnieją inne dobrze znane exploity w uwierzytelnianiu formularzy ASP.NET, że pewna najlepsza praktyka (która nie jest domyślnie zaimplementowana) złagodzi lub uniemożliwi? Buduję stronę publiczną z danymi finansowymi, więc jest to dla mnie poważnym problemem.
Wierzę, że mówisz o tym: http://stackoverflow.com/questions/3720720/how-serious-is-this-new-asp-net-security-vulnerability-and-how-can-i-workaround – Aristos
I podobne pytanie ode mnie to http://stackoverflow.com/questions/2498599/can-some-hacker-steal-the-cookie-from-a-user-and-login-with-that-name-on- a-web-s – Aristos
Doskonały. Dzięki za linki. –