Tôi nghĩ .ASPXAUTH là dành cho xác thực người dùng? Bất cứ ai có thể xác nhận nếu cookie này thực sự là một nguy cơ bảo mật và/hoặc chứa thông tin phiên? Nó thậm chí giả sử được sử dụng hoặc là một số điều gỡ lỗi?Trình kiểm tra thâm nhập nói rằng cookie .ASPXAUTH không an toàn và đang hiển thị dữ liệu phiên?
Tôi nghĩ bạn đã gặp phải một số nhận xét liên quan đến bảo mật Xác thực biểu mẫu. Bạn có thể tìm thêm thông tin tại đây: h ttp://visualstudiomagazine.com/articles/2010/09/14/aspnet-security-hack.aspx
Những gì nó tóm tắt là một hacker thông minh có thể khám phá khóa máy được sử dụng để mã hóa cookeis và tạo cookie giả mạo của chính họ.
Có thể đáng nhắc đến ở đây là các máy chủ được vá lỗi hoàn toàn không còn thể hiện lỗ hổng này nữa: http://technet.microsoft.com/en-us/security/bulletin/MS10-070 – Tao
Thực ra họ không thể phát hiện ra khóa máy trên mỗi se. Họ đã sử dụng các thông báo lỗi của máy chủ để sử dụng máy chủ như một oracle đệm. Sử dụng oracle và brute-force mà họ có thể mã hóa bất kỳ chuỗi nào, một bit tại một thời điểm. Bằng cách xây dựng một yêu cầu được mã hóa cho 'web.config'. Theo mặc định, điều này không chứa phím máy; theo mặc định, nó được tạo cho mỗi ứng dụng trong quá trình, trừ khi bạn tự tạo và định cấu hình khóa. Tuy nhiên, 'web.config' vẫn là một Bad Thing ™. –
Từ câu hỏi http://stackoverflow.com/questions/423467/what-is-aspxauth-cookie - .aspxauth không liên quan đến phiên - nó xác định người dùng. –