Quelle est la taille de User.Identity.Name?

Question

J'écris une application ASP.Net MVC qui utilise l'authentification NTLM, donc les utilisateurs n'ont pas besoin de s'inscrire sur le site. Si j'ai désactivé l'accès anonyme, puis-je utiliser User.Identity.Name comme clé de propriété dans la base de données. Ce que je voudrais faire est d'être en mesure d'émettre une recherche comme

from station in db.stations where station.user == username select *; 

est-ce assez pour savoir fiable qui est l'utilisateur, ou est-il someway un utilisateur méchant pourrait usurper la chaîne de nom et un accès gagner aux données qu'ils ne devraient pas?

Answer 1

Le nom est rempli à partir de la session afin que l'attaquant doive usurper le cookie de session pour pirater la session de l'utilisateur et avoir accès. Le cookie de session ASP.NET est crypté pour empêcher cela, mais vous devez absolument faire en sorte que la session expire afin qu'un attaquant déterminé ne puisse pas passer un temps illimité à tenter de rompre le cryptage. La définition de vos cookies sur httpOnly peut également aider à empêcher qu'un script malveillant dans le navigateur n'accède au cookie.

Voici un reference pour les meilleures pratiques de sécurisation d'un site Web ASP.NET 2.0. Une grande partie est encore applicable, mais peut avoir besoin d'être traduite en MVC.