イントラネットアプリケーションのユーザー名とSHA1ログインを保存する最善の方法は何ですか?ログインとパスワードのハッシュをセッションに安全に保存していますか?
マルチドメイン情報、ユーザー名、パスワードハッシュなどの情報を保持するためのセッションは比較的安全ですか?私はそれらを保つSession["data"] = customObject()
これらのデータを安全にするために追加の手順を実行する必要がありますか?潜在的なセキュリティ上の問題やセキュリティホールが侵害される可能性はありますか?ある種のセッション注入?私はいくつかの秘密鍵のプロセスを使用してセッションデータをロック/オープンする必要がありますか?
これは私の他の質問です。パスワード情報を保存する必要がありますか?フォームを使用してログインし、実際に私がユーザーXYであることを確認したら、パスワードなしでユーザー名を保持しているセッションデータを使用しても安全ですか?サイト全体のデータを処理し、権限を確認する必要がある場合は十分なユーザー名を保持するか、またはすべての時間とすべての単一ページでユーザー名/パスワードチェックとデータベースを行う必要がありますか? – feronovak
一度それらを認証して、フォーム認証チケットを取得すれば、それが誰であるかを確認するだけです。アクセス許可を検証するには、認証されたユーザーの名前を渡して、asp.net内のRoleManagerの例を参照する必要があります。あなたはパスワードが必要で、私が言ったように、それが一度ハッシュされたら、私は何の使い方もしていません。 – Xhalent
セッションハイジャックのようなものはどうですか? – FRoZeN