Обеспечивает ли кеширование роли в файлах cookie?

69
6

Будет ли кэширование роли пользователя в файле cookie проблемой безопасности? Могут ли они расшифровать файл cookie и изменить их роль как Admin? Что хорошего в этом?

спросил(а) 2011-01-19T17:13:00+03:00 9 лет, 1 месяц назад
1
Решение
61

Вот один хороший текст:


Насколько серьезной является эта новая уязвимость безопасности ASP.NET и как ее можно обойти?

Я бы лично не хранил роли в файлах cookie, если не возникла серьезная проблема с производительностью из-за их получения из базы данных. Все зависит от вас, безопасность и производительность. Если у вас есть банковское дело или сайт здоровья, не кешируйте. Если у вас есть магазин электронной коммерции, кеширование не должно быть столь же огромным вопросом.


Даже если вы не кешируете, веб-сервер должен вызывать базу данных только один раз для запроса для автоматической проверки роли. Он может вызывать снова, если вы вызываете метод GetRoles из любого из классов System.Web.

ответил(а) 2011-01-19T17:24:00+03:00 9 лет, 1 месяц назад
36

Как правило, вы не должны отправлять клиенту дополнительную информацию, чем это необходимо.


В файлах asp.net есть недостатки, о которых указывает Оливхор. Но даже если бы не было известной слабости, вы не знаете, когда кто-то ее найдет.

Вот еще один тип атаки: если вы поместите роль в файл cookie, и я могу контролировать сеть. Затем, просто взглянув на размер пакетов, я смогу выяснить, кто имеет какую роль или кто имеет много ролей. Затем выполните техническую атаку на основе этой информации.

ответил(а) 2011-01-19T17:42:00+03:00 9 лет, 1 месяц назад
Ваш ответ
Введите минимум 50 символов
Чтобы , пожалуйста,
Выберите тему жалобы:

Другая проблема