C'è un modo per contrassegnare i classici cookie ASP ASPSESSIONID * come sicuri? Sembra che il gestore ASP ISAPI aggiunga quel cookie di id di sessione dopo che la mia pagina è stata resa, in modo da mettere il codice alla fine della mia pagina per scorrere la raccolta Response.Cookie e contrassegnarli come sicuri non sembra toccare il cookie ASPSESSIONID * . Qualunque altro modo di farlo?Come proteggere il classico cookie ASPSESSIONID ASP?
risposta
La risposta è no non c'è
Non c'è l'interfaccia utente standard fornita dal gestore IIS. Tuttavia, è possibile abilitare i cookie sicuri per SessionID tramite il valore AspKeepSessionIDSecure della metabase
Poiché il mio sito si aspetta che tutte le comunicazioni avvengano tramite https, mi piacerebbe sapere che il cookie non verrà trasmesso in modo insicuro. Le pagine 8-10 del seguente documento spiegano perché è necessario il flag di sicurezza: http://www.isecpartners.com/files/web-session-management.pdf – slolife
Supponendo che tutto il traffico sia su HTTPS, allora non sarà . Esiste la possibilità che ciò accada se l'utente rimuove la "s" da http e prova a parlare al tuo sito. Ma anche se fanno quello che è il danno in questo se il tuo sito utilizza solo Https? – AnthonyWJones
Sono completamente d'accordo con te sul fatto che è molto inverosimile, ma uno dei nostri clienti, nel rivedere il nostro codice, lo ha sollevato come un problema. Non è un problema di alta priorità, ma qualcosa che volevo indagare. Anche se il server non parla http, il browser non lo sa e invierà il cookie su http poiché il bit sicuro non è impostato sul cookie. – slolife
[Modifica: è possibile ignorare quanto segue. Ho appena realizzato che stavi parlando di ASPSESSIONID.}
C'è un supporto integrato per i cookie sicuri.
Vedi http://msdn.microsoft.com/en-us/library/ms524757.aspx
Esempio (per ASP.Net, non Classic ASP):
Response.Cookies("setSecure") = "someValue"
Response.Cookies("setSecure").Secure = true
ho eseguito questo comando:
CSCRIPT C: \ Inetpub \ AdminScripts \ adsutil.vbs set w3svc/1/AspKeepSessionIDSecure 1
Ulteriori informazioni qui: http://blogs.msdn.com/b/rahulso/archive/2007/06/19/cookies-case-study-with-ssl-and-frames-classic-asp.aspx
Script pratico. Nota eseguire questa volta per ogni sito Web desiderato ... impostare w3svc/[identificativo sito qui]/AspKeepSessionIdSecure 1 –
- 1. ASP classico: ASPSESSIONID multiplo nei cookie
- 2. Cookie.HTTPSolo nel classico ASP
- 3. ASP classico: come scrivere dati stringa unicode in ASP classico?
- 4. Come posso gestire il codice ASP classico?
- 5. Come reindirizzare con ASP classico
- 6. Sessione in classico ASP
- 7. Test automatico ASP classico
- 8. ASP classico - Quando chiudere il recordset
- 9. ASP classico: errori di cattura
- 10. concatenando stringhe in ASP classico
- 11. Classe Struttura in classico asp
- 12. Come controllare modulo di presentazione ASP classico
- 13. Come si esegue il debug di ASP classico?
- 14. Posso unire asp.net 4.0 con asp classico o posso convertire asp classico in asp.net?
- 15. Quale utente viene eseguito da asp classico?
- 16. Utilizzo di SQLite con ASP classico
- 17. ResolveUrl/Url.Content equivalente in ASP classico
- 18. Libreria JSON ASP lato server classico
- 19. ASP classico - L'oggetto richiesta è vuoto
- 20. ASP classico: C0000005 Errore durante l'esecuzione
- 21. Vale la pena di imparare ASP classico?
- 22. Leggere valori web.config in ASP classico
- 23. ASP classico in ASP.NET MVC (C#)
- 24. aggiunta intestazione personalizzata con asp classico
- 25. Metodi di crittografia password nel classico ASP
- 26. È possibile proteggere i cookie?
- 27. Restituire il recordset dalla funzione nel classico ASP
- 28. lo studio visivo 2010 supporta il classico asp?
- 29. sito web classico asp/asp.net - global.asa non funziona
- 30. IIS 6.0, messaggio di errore dettagliato ASP classico
Risposta regolata, c'è un modo per farlo. – AnthonyWJones