Puis-je rendre mon cookie ASP.NET FormsAuthentication plus sûr en l'associant à l'ID de session?

Question

Nous avons remarqué qu'il est possible de recréer une copie d'un cookie ASP.NET FormsAuthentication sur une autre machine, ce qui permet la deuxième machine d'authentifier sans avoir besoin de se connecter.

Une solution proposée à ce qui a été pour stocker les ID de session dans FormsAuthenticationTicket.UserData et pour vérifier que les deux valeurs correspondent à Application_AuthenticateRequest().

Nous utilisons:

FormsAuthenticationTicket.IsPersistent = false; 

Cette approche est d'associer cookie FormsAuthentication avec l'ID de session une bonne idée?

Answer 1

Je pense que vous êtes en train de trop penser au problème. La capacité de copier un cookie est simplement un problème inhérent aux cookies - tout le monde peut intercepter n'importe quel cookie et usurper l'identité des données présentes en les installant sur une autre machine. La "sécurité" du cookie d'authentification vient du fait que personne ne peut (soi-disant) fabriquer le cookie à la main pour simuler un utilisateur authentifié. Cependant, une fois le cookie créé, il peut bien sûr être utilisé pour l'authentification. Cela signifie que pour que votre "problème" se produise, vous devez d'abord avoir un utilisateur valide. Si cet utilisateur abuse du système en copiant son cookie sur d'autres machines pour donner accès à tout le monde, c'est exactement la même chose que l'utilisateur qui dit à tout le monde son nom d'utilisateur et son mot de passe, sauf beaucoup plus obtus. Par conséquent, le problème n'est pas la copie du cookie - c'est l'utilisateur lui-même.

Un autre vecteur d'attaque serait si le réseau est compromis et que quelqu'un peut intercepter le trafic pour assembler le cookie via un sniffer ou autre - mais encore une fois, cela est inhérent aux cookies eux-mêmes. C'est ce qu'on appelle le piratage de session, et la seule façon de se protéger contre cela est d'utiliser SSL pour votre site. Si vous êtes vraiment inquiet à ce sujet, je voudrais juste définir votre authentification et vos délais d'attente de session pour être le même, puis dans votre fichier global.asax, il suffit d'appeler FormsAuthentication.Signout() à chaque fois que la session de l'utilisateur expire. Cela invalide l'authentification chaque fois que l'utilisateur a terminé sa session, ce qui l'oblige à se reconnecter plus tard. Bien sûr, cela peut être un désagrément extrême pour vos utilisateurs ...

Je recommande également vivement This MSDN article. Il répond probablement à vos questions beaucoup mieux que je peux.