ユーザがデフォルトのフォーム認証方式に基づいてログインすると、サーバは暗号化データを含むクッキーを作成します(マシンキーを暗号化キーとして使用)。フォーム認証チケットは十分安全ですか?
これは、誰かがサーバーのマシンキーを検索/推測/アクセスすると、Webアプリケーションにログインすることを意味します。
私は4つのサーバー上にあるいくつかのアプリケーションを開発しました。ですから、machine.config内のすべてのサーバーに対して同じマシンキーをハードコードしています。自動生成モードは使用できません。
- マシンキーを強要することは可能ですか?
- その他の方法はありますか? (私はWindowsとPassportを使いたくない)
- フォーム認証チケットは十分安全ですか? (すなわち電子バンキングアプリケーションに受け入れられる)
最も:-) – reach4thelasers