2
私はASP.NETフォーム認証方法を使用しており、machinekeyタグで特定の暗号化と復号化キーを使用しており、slidingexpirationをtrueに設定して20分のタイムアウトに設定しています。 私は質問があります: 誰かが私のクッキーを盗む場合、どこのアカウントでもログインできますか? (暗号化が常に一定であるため) 答えが「いいえ」の場合、リクエストごとにCookieの値がどのように変化するのでしょうか?ASP.NET認証チケットはどのように暗号化されていますか?
おかげ
EDITED:クッキーは暗号化キーが保存されているすべてのリクエストに変更した場合は?そして、アプリケーションがデータを解読する鍵とは何かを知る方法は?
Cookieの盗難が心配な場合は、認証にsslが必要であることを確認してから、SSL証明書をインストールする必要があります。 –
可能な複製http://stackoverflow.com/questions/20497761/net-machinekey-protect-what-algorithm-is-used –