Czy istnieje sposób oznaczania klasycznych ASP ASPSESSIONID * plików cookie jako bezpieczne? Wygląda na to, że procedura obsługi ISAPI ASP dodaje plik cookie sesji po wykonaniu mojej strony, co oznacza, że umieszczenie kodu na końcu mojej strony w celu przejrzenia kolekcji Response.Cookie i oznaczenie ich jako bezpiecznych nie wydaje się dotykać pliku cookie ASPSESSIONID * . W inny sposób to zrobić?Jak zabezpieczyć klasyczny plik cookie ASP ASPSESSIONID?
Odpowiedź brzmi: nie, nie ma
Nie ma standardowego interfejsu użytkownika udostępnionego przez menedżera IIS. Można jednak umożliwić bezpieczne ciasteczka dla sessionid poprzez wartości AspKeepSessionIDSecure Metabase
Ponieważ moja witryna oczekuje, że cała komunikacja odbywa się przez https, chciałbym wiedzieć, że plik cookie nie zostanie przesłany niezabezpieczony. Strony 8-10 Poniższy dokument wyjaśnia, dlaczego bezpieczna flaga jest potrzebne: http://www.isecpartners.com/files/web-session-management.pdf – slolife
Zakładając cały ruch jest za pośrednictwem protokołu HTTPS to nie będzie . Może się zdarzyć, że użytkownik usunie znaki "s" z http i spróbuje porozmawiać z Twoją witryną. Ale nawet jeśli robią to, co w tym szkodzi, jeśli twoja strona używa tylko Https? – AnthonyWJones
Całkowicie zgadzam się z tobą, że jest to daleko idące, ale jeden z naszych klientów, recenzując nasz kod, przedstawił to jako problem. To nie jest kwestia o wysokim priorytecie, ale coś, co chciałem zbadać. Mimo że serwer nie mówi http, przeglądarka tego nie wie i wyśle plik cookie przez http, ponieważ bit Secure nie jest ustawiony na cookie. – slolife
[Edit: Można zignorować następujące. Właśnie uświadomiłem sobie, że mówiłeś o ASPSESSIONID.}
Nie jest wbudowane wsparcie dla bezpiecznych plików cookie.
Patrz http://msdn.microsoft.com/en-us/library/ms524757.aspx
Przykład (na ASP.Net nie klasyczny ASP):
Response.Cookies("setSecure") = "someValue"
Response.Cookies("setSecure").Secure = true
uruchomić polecenia:
CSCRIPT C: \ Inetpub \ AdminScripts \ adsutil.vbs set w3svc/1/AspKeepSessionIDSecure 1
Więcej informacji tutaj: http://blogs.msdn.com/b/rahulso/archive/2007/06/19/cookies-case-study-with-ssl-and-frames-classic-asp.aspx
Poręczny skrypt. Uwaga uruchomiono to raz dla każdej pożądanej strony przez ... set w3svc/[identyfikator strony tutaj]/AspKeepSessionIdSecure 1 –
Odpowiedź dostosowana, jest sposób, aby to zrobić. – AnthonyWJones