با سلام .
یه سوالی که در مورد Membership واسم پیش میاد .
وقتی میایم Role تعریف میکنیم و دو کاربر در این Role ثبت میشن .
اگر یکی از این کاربرا بتونه به هر دلیلی کوکی کاربر دیگرو که آس پی ایجاد میکنه(, ASP.NET_SessionId , .ASPXAUTH)به دست بیاره به راحتی میتونه اطلاعات اون طرفو ببینه فقط کافی مقادیر این کوکی عوض شه
برای جلوگیری از این کار چه راهی را پیشنهاد میکنید ؟؟
و اینکه چه استفاده هایی میشه از این کوکی های ایجاد شده به نحو احسن کرد؟؟
ممنونم . . .

سلام

این کوکی ها رمز نگاری میشن و در سیستم کاربر ذخیره می شوند.بنابراین به همین راحتی اطلاعات آن قابل رمز گشایی نیست.

میشه روشی را که کاربر میتونه اطلاعان کاربر دیگه رو از روی کوکی بدست بیاره برای ما هم بگذارید.

منظورتون از استفاده مبهم است.

بله رمز نگاری میشه.
اما برا تست بیاین 1 role بسازین و چنتا کاربر
2 تا کاربرو با دو تا مرورگر متفاوت باز کنید اپرا و فایر فاکس
و لوگین کنید و کافیه value کوکی .ASPXAUTH را که با فایر فاکس باز کردید رو ; که واسه کاربر یکه ;
بزارید داخل value کوکی .ASPXAUTH که با اپرا باز کردید واسه کاربر دو

برای اینکه دقیق ببینید میتونید یه کد ساده بنویسد که UserId طرفی که لوگین کرده رو مثلا اطلاعاتشو نشون بده (userid رو ازMembership.GetUser().ProviderUserKey ) بگیرید
من این کار رو انجام دادم و کاربر دو به اطلا عات کاربر یک دسترسی پیدا کرد
حالا برای رفع این مشکل چه راهی رو توصیه میکنید؟؟
ممنون

در مورد ASP.NET_SessionId
Session Hijacking از طریق سرقت کوکی اتفاق می افته. SID یک رشته ی 120 بیتی تصادفی هست و احتمال تکرار اون بسیار نادره. البته پیشنهاد این هست که هرگز از Session استفاده نکنید.

در مورد ASPXAUTH:
اطلاعات درون اون کوکی رمزنگاری میشن و این کلید رمز در web.config یا machine.config وجود داره. بنابراین تا زمانی که کسی کلید رمز رو نمیدونه، مشکلی وجود نداره.

موفق باشید.

مرسی از جوابتون. . . اما چرا من وقتی میام مثل پست قبلی که گفتم مقادیر یک کوکی ASPXAUTHرو که واسه یک کاربر(کاربر یک) با مقدار کوکی یه کاربر دیگه (کاربر دو)عوض میکنم اون کاربر دو به اطلاعات کاربر یک دسترسی پیدا میکنه ؟ یعنی وقتی دو کاربر در یک Role باشند و یکی از کاربرا به هر دلیلی بتونه به کوکی ASPXAUTH دسترسی داشته باشه میتونه اطلاعات اونو کاربرو ببینه !

وقتی شما بلیت برای ورود به سینما میخری، اون بلیت قابل انتقال به غیر هست و کسی بررسی نمی کنه که این بلیت توسط چه کسی خریده شده. در حقیقت راهی هم - در این سناریو - واسه این کار وجود نداره.
َُASP.NET نمی تونه تشخیص بده که این کوکی آیا از سیستمی که بر روی اون ایجاد شده ارسال شده یا از یک سیستم دیگه.
کوکی ها باید HttpOnly مارک بشن تا جلوی سرقتشون توسط حملاتی مثل XSS گرفته بشه.

موفق باشید.

سلام
ممنون از جوابتون
اگر امکان دارد در مورد اینکه کوکی ها باید HttpOnly مارک بشن یکم توضیح بدید؟؟

سلام
ممنون از جوابتون
اگر امکان دارد در مورد اینکه کوکی ها باید HttpOnly مارک بشن یکم توضیح بدید؟؟
خصیصه ی HttpOnly کوکی رو برابر با true قرار بده تا از طریق کدهای Client Side نشه به اون دسترسی پیدا کرد.

موفق باشید.

خصیصه ی HttpOnly کوکی رو برابر با true قرار بده تا از طریق کدهای Client Side نشه به اون دسترسی پیدا کرد.

موفق باشید.

این کارو کردم اما نشد

این کارو کردم اما نشد
خواستن توانستن است.

سلام


من یک سایت دارم akakala.com


در بعضی از جاها این کوکی (ASP.Net_Sessionid) بوجود می آید

حال مشکل اینجاست که با بوبود آمدن این کوکی می تونم بگم که برای تقریبا 20 تا 30 ثانیه سایت قفل می کنه و تقریبا هیج صفحه ای باز نمی شه و بعد از گذشت این زمان اطلاعات یکباره میاد و صفحه مورد نطر باز میشه

اگه این کوکی رو حذف نکنم در صفحاتی که این کوکی ایجاد نمیشه ام سرعت سایت فوقالعاده کم میشه ( دقیقا مثل مورد بالا ) انگار که باید هر 20 یا 30 ثانیه یکبار کلیک کنم چون اطلاعاتی رد و بدل نمیشه (انگار که انتقال اطلاعات زمانبندی شده که هر 20 یا 30 ثانیه یکبار امکان انتقال اطالعات فراهم میشه و بعد دوباره انتقال اطلاعات قطع میشه و... ) ولی اگه حذفش کنم هیچ مشکلی وجود نداره.

حالا می خواستم بدونم من باید چکار کنم که این مشکل حل بشه

آیا میشه از ایجاد این کوکی جلوگیری کرد و نزاریم اصلا ایجاد بشه ؟


لطفا راهنمایی کنید .