Moja aplikacja internetowa działa tylko za pośrednictwem protokołu SSL i ustawia plik cookie z ograniczeniami czasowymi dla każdego użytkownika po pomyślnym zalogowaniu przy użyciu nazwy użytkownika i hasła. Największe słabości w systemie stanowią zagrożenie dla pliku cookie istniejącego użytkownika. I dwa zgadywanie identyfikatora GUID sesji.Czy identyfikatory GUID generowane w systemie Windows 2003 są bezpieczne do użycia jako identyfikatory sesji?
Znam mechanizmy na pierwszą słabość, ale zastanawiam się, jak bardzo muszę się martwić o szansę, aby atakujący odgadł identyfikator GUID sesji na podstawie identyfikatora GUID, który wcześniej uzyskali, logując się na konto, które ustawili w górę? Serwer internetowy w tym przypadku to Windows 2003, a identyfikatory GUID są generowane z .Net 3.5.
Algorytm tworzenia GUID został zmieniony. Nie używają już adresów MAC. Są to tylko 128-bitowe liczby pseudolosowe. I mają wiele problemów z bezpieczeństwem. –
Nie ma adresu MAC, a nie znacznika czasu w .NET 3.5 guids. –
Czy identyfikator GUID .net 3.5 jest opisany przez dostawcę jako bezpieczny kryptograficznie? – ConcernedOfTunbridgeWells