En el desarrollo web, cuando se habilita el estado de la sesión, se almacena una identificación de sesión en la cookie (en el modo sin cookies, se utilizará la cadena de consulta en su lugar). En asp.net, la identificación de la sesión se cifra automáticamente. Hay muchos temas en Internet sobre cómo debe encriptar su cookie, incluida la identificación de la sesión. Puedo entender por qué quieres encriptar información privada como DOB, pero cualquier información privada no debe almacenarse en una cookie en primer lugar. Entonces, para otros valores de cookies, como la identificación de sesión, ¿cuál es el cifrado de propósito? ¿Agrega seguridad? no importa cómo lo asegure, será enviado de vuelta al servidor para su descifrado.¿El cifrado de la id de sesión (u otro valor de autentificación) en la cookie es útil?
Sé ser más específicos,
con fines de autenticación,
- desvío sesión, i no quieren hacer frente a tiempo de la sesión fuera más
- tienda de algún tipo de valor de id en la cookie,
- en el lado del servidor, compruebe si el valor de identificación existe y coincide, si lo es, con la autenticación del usuario.
- Deje que el valor de la cookie caduque cuando la sesión del navegador finalice, de esta manera.
vs
Asp.net mecanismo de autenticación forma (que depende de la sesión o del ID de sesión, creo)
hace este último una oferta mejor seguridad?
¿Qué quiere decir con encriptación? – Gumbo
Me refiero a algún tipo de método symMetric como AES o TDES – JiJ