【发布时间】:2013-10-01 23:21:39
【问题描述】:
IIS 6.0 对会话 ID cookie 使用以下格式
设置 Cookie:ASPSESSIONIDACTCRDDR=EMGFKIKAPMLMCAJPOAPNKADG;
ASPSESSIONID 之后的部分是随机的。随机部分不是很长,可以猜到有效的会话 ID。
有没有办法配置 IIS 6 以使 cookie 更长,从而更安全?
您知道 IIS 7 或更高版本的格式是否相同?
【问题讨论】:
【发布时间】:2013-10-01 23:21:39
【问题描述】:
您希望阅读这些信息的具体内容是什么?
如果您非常担心“通过网络”传输的信息的安全性,那么请使用 SSL(包括登录表单)。
如果您担心在本地读取信息的某些东西,那么您就会遇到更大的问题 - 要么是他的某些东西受到了破坏,要么是有人向您的网站注入了一些代码。
如果您担心随机猜测,那么这并不是针对此类信息的实际攻击。通常更容易通过网络收听信息或通过其他方式(例如中间人)劫持数据。
【讨论】:
-
我确实担心随机猜测。