公共ASPXAUTH cookie和安全性

Question

由于闪存中的一个bug，我必须使用ASPXAuth cookie将用户登录到Flash上传脚本在上传后调用的页面。有关更多信息，请参阅此页面：http://geekswithblogs.net/apopovsky/archive/2009/05/06/working-around-flash-cookie-bug-in-asp.net-mvc.aspx

我必须使ASPXAUTH字符串“公共”，因为它将在页面的HTML中。我的问题是，这有多安全？

我知道任何可以访问HTML中的字符串的人都可以很容易地从cookie中访问到它，但是假设某人确实拥有这个ASPXAUTH字符串。他们是否可以使用此cookie以其他用户身份登录？他们能解密吗？

芭拉

Answer 1

如果第三方已获得您的网站使用的解密密钥，则可以解密Forms Authentication cookie的值。否则，我猜这将是一个使用暴力方法来破解它的案例。

Answer 2

确保防止页面在客户端、代理服务器和服务器上进行缓存。

如果页面的标记中包含aspxauth cookie值，那么您真的不希望页面存储在任何缓存中。

就我个人而言，如果是非常敏感的数据，我会使用SSL进行连接。