Je pensais que le .ASPXAUTH était pour l'authentification de l'utilisateur? Quelqu'un peut-il confirmer si ce cookie présente effectivement un risque de sécurité et/ou contient des informations de session? Est-il même supposé être utilisé ou est-ce quelque chose de débogage?Les testeurs de pénétration indiquent que le cookie .ASPXAUTH n'est pas sécurisé et affiche des données de session?
Je pense que vous avez rencontré des commentaires concernant la sécurité de l'authentification par formulaires. Vous pouvez trouver plus d'informations ici: h ttp://visualstudiomagazine.com/articles/2010/09/14/aspnet-security-hack.aspx
Ce qui revient à dire qu'un pirate intelligent peut découvrir la clé machine utilisée pour chiffrer les cookies et créer leurs propres cookies authentiques.
Il est probablement utile de mentionner ici que les serveurs entièrement patchés ne présentent plus cette vulnérabilité: http://technet.microsoft.com/en-us/security/bulletin/MS10-070 – Tao
En fait, ils n'ont pas pu découvrir la clé machine par se. Ils ont utilisé les messages d'erreur du serveur pour utiliser le serveur comme un oracle de remplissage. En utilisant l'oracle et la force brute, ils pouvaient chiffrer n'importe quelle chaîne, un bit à la fois. En construisant une requête cryptée pour 'web.config'. Par défaut, cela ne contient pas la clé machine; par défaut, il est généré par application en cours, sauf si vous générez et configurez vous-même une clé. Fuite 'web.config' est toujours une mauvaise chose, cependant. –
De la question http://stackoverflow.com/questions/423467/what-is-aspxauth-cookie - .aspxauth n'est pas lié à une session - il identifie l'utilisateur. –