FormsAuthentication安全性讨论,主要是客户端Cookie中重要的用户名密码是否安全。

哈哈,窗体验证!Cookie是基础

解决方案 »

  1.   

    :) 你是说 cookie 安全还是不安全阿?
      

  2.   

    网站安全是一个系统的工作,cookie可能从形式上讲好象有机可乘,但他要与登录形式、授权管理、口令加密、数据库安全等综合起来才能达到需要的目的。至于cookie是否安全,我学识有限,只能有高手解答。
    哈希算法的SH1、MD5加密是不可逆的,他的计算是按组合来计算的,不是某个字对应什么,不然就可以轻松解密了。
    Session的失效,好象网站内相关的贴子不少,你查一下,我还没碰到。
      

  3.   

    用MD5机密的时候你可以结合用户名或者ip等等一起加密。那还能对照法解密吗?穷举死他~
      

  4.   

    把加过密的密码存入cookie(黑客就末法了),在登陆的时候直接用这个密码和数据库的密码对比。
      

  5.   

    对了,cookie的过期时间还是存在cookie中的吧,如果有人试图更改过期时间呢?
      

  6.   

    在web.config中有Cookie保存时间的设定,包括窗体验证和会话状态设置,在窗体验证使用的是临时Cookie,临时 Cookie 只在当前浏览器会话期间保持。当浏览器关闭时,临时 Cookie 随即丢失。永久 Cookie 则被浏览器保存,并在浏览器会话间回发,直到被用户显式删除。