フォーム認証Cookie - なぜSSLですか？

Question

ASP.NETでformsAuthenticationを使用するときは、requireSSLプロパティを使用してSSLを使用することがガイダンスに記載されています。

私は、クッキーの内容が暗号化されているという印象を受けました。 SSLが必要な理由を理解しようとしていますか？

Answer 1

これは問題のCookieではなく、ユーザー名とパスワードを送信しています。 SSLを使用すると、そのトランザクションは傍受されなくなります（ユーザーが証明書のチェックを邪魔することがあれば、何らかの安心の手段が提供されます）

Answer 2

私はまったく同じ質問をしています！

私は絶対に間違いなくあなたはSSL経由でログインする必要があります あなたはログインしているときに、機密情報表示がないサイト用の@ blowdartの答えとやや満足している - 。だけでなく、誰かがあなたのクッキーへのアクセス権を取得する場合彼らは期限が切れるまであなたを偽装することができます。 、捕獲し ネットワークを横断しながら、 が改ざんされることからフォーム認証Cookieを防ぐため、 で認証 アクセスを必要とするすべてのページをSSLを使用していることを確認し、にフォームに 認証チケットを制限する

http://msdn.microsoft.com/en-us/library/ms998310.aspx

SSLチャネル を使用して、 要素でrequireSSL = "true"を設定します。

次のコードに示すように、SSLチャネル

設定requireSSL要素に=「真」にフォーム認証Cookieを制限します。 requireSSL =「true」を設定することにより

は、あなたが は、ブラウザが バックサーバにクッキーを送信するかどうかを決定するセキュアなクッキープロパティを設定します。 セキュアなプロパティが設定されている場合、 HTTPS URLを使用して要求されたセキュアページ にのみ、ブラウザによって クッキーが送信されます。

注：Cookieなしのセッションを使用している場合、あなたは 認証チケットが無担保 チャネルを介して送信されることはありません されていることを確認する必要があります。