私は現在、私のWebアプリケーションの1つを考慮に入れています。セキュリティを改善するためのアドバイスが必要でした。Cookieベースの認証を保護する
私は、アプリケーションがASP.netであり、現在の実装では、統合認証を使用してから私を妨げることに注意しましょう。これは、高度なセキュリティを必要とするアプリケーションでもありません。私は自分の拠点をカバーするのが好きです。
私は過去にIDとトークンを保存していました。 トークンは、ユーザーのIDとユーザーのSaltのハッシュです(認証情報の値を再利用します)。 ユーザーがサイトにアクセスすると、トークンに対してIDがチェックされ、それに応じてIDが確認されます。
ここに大きな穴があることが私に起こります。 理論上、誰かが塩分値を手にしているのであれば、ハッシュアルゴリズムを推測し、それが入るまでIDを繰り返し処理する必要があります。これが起こるとは思っていませんが、まだ間違いのようです。
適切にユーザーのクッキーが変更されていないことを確認する方法上の任意のアドバイスはありますか?
私が気になることのその部分を追加します。誰かがサイトのsalt値とパスワードハッシュを取得した場合、純粋なパスワード認証ではまったく役に立たないということです。クッキー認証の良い方法は同様のやり方で動作するようです。 –