मैं वर्तमान में अपने वेब अनुप्रयोगों में से एक को फिर से फैक्टर कर रहा हूं और मैं अपनी सुरक्षा में सुधार करने के लिए कुछ सलाह की उम्मीद कर रहा था।कुकी आधारित प्रमाणीकरण को सुरक्षित करना
मुझे लगता है कि एप्लिकेशन एएसपीनेट में है और वर्तमान कार्यान्वयन मुझे एकीकृत प्रमाणीकरण का उपयोग करने से रोकता है। यह किसी भी तरह से एक आवेदन नहीं है जिसके लिए उच्च सुरक्षा की आवश्यकता है, मुझे बस अपने आधार कवर करना पसंद है।
अतीत में मैंने आईडी और टोकन संग्रहीत किया है। टोकन उपयोगकर्ता की आईडी का एक हैश है (उपयोगकर्ता की नमक (ऑथ जानकारी से मूल्य का पुन: उपयोग) जब कोई उपयोगकर्ता साइट पर जाता है तो आईडी टोकन के विरुद्ध चेक की जाती है और तदनुसार आ जाती है।
यह मेरे लिए होता है कि यहां एक बड़ा छेद है। सैद्धांतिक रूप से अगर किसी को नमक मूल्य पर अपना हाथ मिल गया तो उन्हें केवल हैश एल्गोरिदम का अनुमान लगाना चाहिए और जब तक वे अंदर नहीं आते हैं, तब तक संभव आईडी के माध्यम से पुन: प्रयास करें। मुझे ऐसा होने की उम्मीद नहीं है, लेकिन यह अभी भी एक गलती की तरह लगता है ।
उपयोगकर्ता कुकीज़ को ठीक से पुष्टि करने के तरीके पर कोई सलाह नहीं दी गई है?
मैं उस परेशानी के उस हिस्से को जोड़ दूंगा जो मुझे परेशान करता है कि अगर किसी को साइट के लिए नमक मूल्य और पासवर्ड हैश प्राप्त करना होता है तो यह उन्हें शुद्ध पासवर्ड प्रमाणीकरण के साथ कुछ भी अच्छा नहीं करेगा। ऐसा लगता है कि कुकी प्रमाणीकरण की एक अच्छी विधि एक ही फैशन में काम करेगी। –