J'ai l'impression que l'adhésion ASP.NET crypte son cookie par défaut.L'appartenance ASP.NET est-elle protégée par Firesheep?
Est-il relativement sûr de supposer que l'appartenance ASP.NET protège contre le détournement de session (ala Firesheep)?
L'appartenance ASP.NET utilise exactement le même mécanisme que tout autre site et est absolument vulnérable à l'attaque Firesheep. Le cookie lui-même ne peut pas être chiffré d'une manière qui l'empêche d'être piraté. Toutes les communications avec le serveur doivent être cryptées pour éviter le piratage de session, en utilisant le cryptage sans fil SSL ou WEP.
Le cookie est crypté, mais cela n'empêche pas une personne qui obtient le cookie d'agir comme vous.
Seulement si toute la session est sur HTTPS. Firesheep ne se soucie pas du contenu du cookie; tout ce qu'il doit faire est de dupliquer le cookie dans le navigateur de l'attaquant.
Tant que le cookie est envoyé en texte clair (par opposition à HTTPS ou WPA), vous êtes toujours vulnérable.
Merci à tous - SSL pour toute la session c'est :) –