1. घर
  2. सवाल और जवाब
  3. क्या कोई भी एएसपीनेट फॉर्म कुकीज (जेएस के माध्यम से) को हाइजैक कर सकता है और समाप्ति तिथि बदल सकता है?

क्या कोई भी एएसपीनेट फॉर्म कुकीज (जेएस के माध्यम से) को हाइजैक कर सकता है और समाप्ति तिथि बदल सकता है?

2009-05-11 5 views
6

क्या कोई भी एएसपीनेट फॉर्म कुकी के रूप में (जेएस के माध्यम से) अपहरण कर सकता है और समाप्ति तिथि बदल सकता है?क्या कोई भी एएसपीनेट फॉर्म कुकीज (जेएस के माध्यम से) को हाइजैक कर सकता है और समाप्ति तिथि बदल सकता है?

उन्हें पकड़ने और समाप्ति तिथि बदलने से उन्हें क्या रोक सकता है? यानी प्रभावी रूप से उपयोगकर्ता को लॉग इन रहने दें?

अद्यतन

.net ढांचा बनाता प्रमाणन करता है। कुकी कुकी की समाप्ति तिथि पर भरोसा करती है या क्या वह इसे समझती है?

स्रोत

2009-05-11 Anonymous

उत्तर

0

अच्छी तरह से यकीन है कि के बारे में नहीं जावास्क्रिप्ट लेकिन आप कुकी संपादक Fire Fox

एन्क्रिप्ट की पर जोड़ने यह

कुकी

स्रोत

2009-05-11 18:30:01 Searock

1

ट्रैक यह सर्वर साइड के अंदर एक अतिरिक्त तारीख ध्वज सेट का उपयोग कर ऐसा कर सकते हैं।

स्रोत

2009-05-11 18:30:55

2

कुकीज़ क्लाइंट द्वारा संग्रहीत की जाती है, आप उन पर भरोसा नहीं कर सकते हैं कि वे न बदलें।

फ़ायरफ़ॉक्स के लिए एक्सटेंशन हैं जो आपको समाप्ति तिथियों सहित कुकीज़ संपादित करने देते हैं। यदि आप चाहते हैं कि वे उन्हें समाप्त होने के लिए बाध्य करें तो आपको उन्हें सर्वर की ओर भी ट्रैक करना चाहिए और उन्हें वहां समाप्त कर देना चाहिए।

स्रोत

2009-05-11 18:31:29

0

यदि आप इसे रोकना चाहते हैं, तो कुकी मूल्य में समाप्ति तिथि हैश। फिर, जब आप कुकी को पुनर्प्राप्त करते हैं, यदि हैश की समाप्ति तिथि सादे टेक्स्ट समाप्ति तिथि से मेल नहीं खाती है, तो कुकी को छोड़ दें।

स्रोत

2009-05-11 18:33:19

5

ऐसी कुछ चीजें हैं जो आप स्थिति में सुधार के लिए कर सकते हैं।

web.config में, सुरक्षा = "सभी" सेट कुकी के लिए: http://msdn.microsoft.com/en-us/library/1d3t3c61.aspx। यह एन्क्रिप्ट और मान्य करेगा, जिससे क्लाइंट-साइड हैक करना मुश्किल हो जाएगा।

इसके अतिरिक्त, कुकीज httpOnly को सत्य पर सेट कर सकते हैं। यह ब्राउज़र को बताता है कि कुकीज़ को जावास्क्रिप्ट में छेड़छाड़ नहीं किया जा सकता है।

< > वेब.config में तत्व भी टाइमआउट के लिए एक सेटिंग है (उपरोक्त लिंक देखें)। यह संभव है कि माइक्रोसॉफ्ट का कार्यान्वयन पर्याप्त स्मार्ट है जो पूरी तरह से कुकी पर निर्भर न हो, लेकिन मुझे नहीं पता।

अन्य टिप्पणियां सही हैं कि ग्राहक को कभी भरोसा नहीं किया जाना चाहिए। तो एयरटाइट होने के लिए, आप सर्वर पर "अंतिम लॉगिन" ट्रैक करना चाहते हैं और कुछ समय अवधि के बाद एक नया लॉगिन लागू करना चाहते हैं।

स्रोत

2009-05-11 21:04:49

1

वाया जे एस (जावास्क्रिप्ट) यह कम से कम नहीं एक ब्राउज़र का सम्मान करता है कि केवल Http विशेषता है कि ASP.NET प्रपत्र कुकी के लिए सेट में संभव नहीं है,।

स्रोत

2009-05-11 22:15:19

संबंधित मुद्दे

 संबंधित मुद्दे