Czy istnieje sposób oznaczania klasycznych ASP ASPSESSIONID * plików cookie jako bezpieczne? Wygląda na to, że procedura obsługi ISAPI ASP dodaje plik cookie sesji po wykonaniu mojej strony, co oznacza, że umieszczenie kodu na końcu mojej strony w celu przejrzenia kolekcji Response.Cookie i oznaczenie ich jako bezpiecznych nie wydaje się dotykać pliku cookie ASPSESSIONID * . W inny sposób to zrobić?Jak zabezpieczyć klasyczny plik cookie ASP ASPSESSIONID?
Odpowiedz
Odpowiedź brzmi: nie, nie ma
Nie ma standardowego interfejsu użytkownika udostępnionego przez menedżera IIS. Można jednak umożliwić bezpieczne ciasteczka dla sessionid poprzez wartości AspKeepSessionIDSecure Metabase
Ponieważ moja witryna oczekuje, że cała komunikacja odbywa się przez https, chciałbym wiedzieć, że plik cookie nie zostanie przesłany niezabezpieczony. Strony 8-10 Poniższy dokument wyjaśnia, dlaczego bezpieczna flaga jest potrzebne: http://www.isecpartners.com/files/web-session-management.pdf – slolife
Zakładając cały ruch jest za pośrednictwem protokołu HTTPS to nie będzie . Może się zdarzyć, że użytkownik usunie znaki "s" z http i spróbuje porozmawiać z Twoją witryną. Ale nawet jeśli robią to, co w tym szkodzi, jeśli twoja strona używa tylko Https? – AnthonyWJones
Całkowicie zgadzam się z tobą, że jest to daleko idące, ale jeden z naszych klientów, recenzując nasz kod, przedstawił to jako problem. To nie jest kwestia o wysokim priorytecie, ale coś, co chciałem zbadać. Mimo że serwer nie mówi http, przeglądarka tego nie wie i wyśle plik cookie przez http, ponieważ bit Secure nie jest ustawiony na cookie. – slolife
[Edit: Można zignorować następujące. Właśnie uświadomiłem sobie, że mówiłeś o ASPSESSIONID.}
Nie jest wbudowane wsparcie dla bezpiecznych plików cookie.
Patrz http://msdn.microsoft.com/en-us/library/ms524757.aspx
Przykład (na ASP.Net nie klasyczny ASP):
Response.Cookies("setSecure") = "someValue"
Response.Cookies("setSecure").Secure = true
uruchomić polecenia:
CSCRIPT C: \ Inetpub \ AdminScripts \ adsutil.vbs set w3svc/1/AspKeepSessionIDSecure 1
Więcej informacji tutaj: http://blogs.msdn.com/b/rahulso/archive/2007/06/19/cookies-case-study-with-ssl-and-frames-classic-asp.aspx
Poręczny skrypt. Uwaga uruchomiono to raz dla każdej pożądanej strony przez ... set w3svc/[identyfikator strony tutaj]/AspKeepSessionIdSecure 1 –
- 1. Jakiego użytkownika używa klasyczny ASP?
- 2. Array scalić w ASP klasyczny
- 3. Jak sprawdzić przesyłanie formularza ASP klasyczny
- 4. Klasyczny błąd ASP z żądaniem XMLHTTP
- 5. Czy można zabezpieczyć pliki cookie?
- 6. Jak zabezpieczyć plik "hibernate.cfg.xml"? (Nhibernate)
- 7. Jak debugować aplikację Klasyczny ASP w VS 2012
- 8. Pliki cookie w ASP vnext
- 9. Jak usunąć plik cookie?
- 10. Nieprawidłowa nazwa kolumny "Fałsz" (Klasyczny asp, wydanie edycji tabeli)
- 11. Klasyczny ASP 3.0 Utwórz macierz z zestawu rekordów
- 12. Czy mogę połączyć asp.net 4.0 z klasycznym asp, czy mogę przekonwertować klasyczny asp do asp.net?
- 13. Jak zabezpieczyć treść ajaxową
- 14. plik cookie session.io parsować (> = 2.4.1) podpisany plik cookie sesji
- 15. Ustawienie HTTPONLY dla klasycznego pliku cookie dla plików Asp
- 16. Pierwsze "Ten typ strony nie jest obsługiwany", Jak uruchomić klasyczny ASP w VisualStudio na lokalnym komputerze?
- 17. Odtwórz plik WS ramowy plik cookie
- 18. Jak zaktualizować plik cookie w PHP?
- 19. Jak wywołać plik cookie javascript w serwlecie?
- 20. Jak odczytać plik cookie z pliku org.eclipse.swt.browser.Browser?
- 21. Jak usunąć plik cookie w Apache
- 22. Jak dodać plik cookie na HttpTransportBindingElement
- 23. jak sprawdzić, czy plik cookie javascript wygasł?
- 24. Jak "przekierować" plik cookie na inną stronę?
- 25. Jak wysłać plik cookie w URLConnection?
- 26. jak usunąć plik cookie w PHP?
- 27. Jak najlepiej sprawdzić, czy plik cookie istnieje?
- 28. Jak zabezpieczyć plik konfiguracyjny bazy danych w projekcie?
- 29. dodać plik cookie do WebClient
- 30. Jak zabezpieczyć NSUserDefaults?
Odpowiedź dostosowana, jest sposób, aby to zrobić. – AnthonyWJones