Comment sécuriser ASP classique aspsessionid ne cookie?

Est-il un moyen pour marquer ASP classique aspsessionid ne* cookies sécurisés? Il semble que l'ASP gestionnaire ISAPI ajoute que le cookie de session après ma page est faite de rendu afin de mettre le code à la fin de ma page pour en faire une boucle par la Réponse.La collecte de témoins et de les marquer comme sécurisé ne semble pas toucher le aspsessionid ne* cookie. Toute autre manière de procéder?

Réponse ajustée, il y a une façon de le faire.

OriginalL'auteur slolife | 2009-06-04

  1. 9

    La réponse est non il n'y a pas Il n'y a pas sur le standard de l'INTERFACE utilisateur fournie par le gestionnaire des services IIS. Cependant, vous pouvez sécuriser les cookies pour le SessionID via le AspKeepSessionIDSecure valeur de la Métabase

    Depuis que mon site s'attend à ce que toute la communication se fait via le protocole https, je voudrais savoir que le cookie ne sera pas transmis d'insécurité. Pages 8 à 10 du document suivant, expliquer pourquoi l'indicateur de sécurité est nécessaire: isecpartners.com/files/web-session-management.pdf
    En supposant que tout le trafic est de plus de HTTPS, il ne sera pas. Il y a une possibilité qu'il pourrait être si l'utilisateur supprime le 's' de http et essaie de parler à votre site. Mais même s'ils font ce qui est du préjudice que si votre site n'utilise Https?
    Je suis entièrement d'accord avec vous que c'est tiré par les cheveux, mais l'un de nos clients, dans la révision de notre code, cela comme un problème. Pas une question de haute priorité, mais quelque chose que je voulais étudier. Même si le serveur ne parle pas http, le navigateur ne sait pas qui et envoyer le cookie sur http depuis un bit Sécurisé n'est pas définie sur le cookie.
    BTW, ce lien: microsoft.com/technet/security/bulletin/MS00-080.mspx me Fait penser qu'il est possible ou même pris en charge. L'article parle IIS4 ou 5, mais je suis en cours d'exécution 5.1 et 6. Avez-vous des documents à l'appui de votre réponse "Non, il n'est pas possible"?
    Non, en fait je viens de trouver de la documentation qui montre comment c'est possible ;).

    OriginalL'auteur AnthonyWJones

  2. 3

    Je lance cette commande:

    CSCRIPT C:\Inetpub\AdminScripts\adsutil.vbs set w3svc/1/AspKeepSessionIDSecure 1

    Plus d'informations ici: http://blogs.msdn.com/b/rahulso/archive/2007/06/19/cookies-case-study-with-ssl-and-frames-classic-asp.aspx

    Pratique de script. Remarque ceci exécuté une fois pour chaque site désiré par ... set w3svc/[identificateur de site ici]/AspKeepSessionIdSecure 1

    OriginalL'auteur Julio Garcia

  3. 1

    [Edit: Vous pouvez ignorer les suivantes. Je viens de réaliser que vous parliez de la aspsessionid ne.}

    Il est intégré dans la prise en charge de secure cookies.

    Voir http://msdn.microsoft.com/en-us/library/ms524757.aspx

    Exemple (pour ASP.Net, pas Classique ASP):

    Response.Cookies("setSecure") = "someValue"
Response.Cookies("setSecure").Secure = true
    La question est à propos de l'ASP Classique pas asp.net

    OriginalL'auteur JDog

  4. 0

    Comme l'a constaté ici, un UrlRewrite règle peut gérer cela.

    Les règles ci-dessous le manipuler pour l'ajout de deux HttpOnly et Secure si elles sont manquantes sur la ASPSESSIONID cookie. (Pour les autres cookies, normalement ils sont émis par le site de l'ASP code: mieux gérer directement dans le code responsable pour eux.)

    <system.webServer>
  <rewrite>
    <outboundRules>
      <rule name="Add HttpOnly" preCondition="No HttpOnly">
        <match serverVariable="RESPONSE_Set_Cookie" pattern="\s*ASPSESSIONID.*" />
        <action type="Rewrite" value="{R:0}; HttpOnly" />
      </rule>
      <rule name="Add Secure" preCondition="No Secure">
        <match serverVariable="RESPONSE_Set_Cookie" pattern="\s*ASPSESSIONID.*" />
        <action type="Rewrite" value="{R:0}; Secure" />
        <conditions>
          <add input="{HTTP_HOST}" pattern="localhost" negate="true" />
        </conditions>
      </rule>
      <preConditions>
        <preCondition name="No HttpOnly">
          <add input="{RESPONSE_Set_Cookie}" pattern="; HttpOnly" negate="true" />
        </preCondition>
        <preCondition name="No Secure" logicalGrouping="MatchAll">
          <add input="{RESPONSE_Set_Cookie}" pattern="; Secure" negate="true" />
        </preCondition>
      </preConditions>
    </outboundRules>
  </rewrite>
</system.webServer>

    Si UrlRewrite n'est pas installé sur le Serveur IIS, cela permettra de planter le site.

    Noter que le Secure règle ne doit pas être appliqué si le site est légitimement accessibles sur http au lieu de https, donc la condition pour qu'il n'en émet pas lors de la navigation locale. Si Secure est émise pour un site accessible sur http de la part du client final, le client ne sera pas envoyer le cookie au serveur.

    (Je éviter de tester le protocole entrants, parce que les sites je travaille ne sont pas censés être consulté sur http de toute façon, à l'exception, éventuellement, directement à partir de leur serveur d'hébergement ou d'équilibrage de charge.)

    J'ai déjà essayé d'utiliser asp/session/keepSessionIdSecure, mais il n'a pas d'effet (au moins pour un site derrière un répartiteur de charge de résiliation de l'https et l'accès au serveur de site sur http). Ce paramètre est la version moderne (IIS 7+) de la AspKeepSessionIDSecure Métabase valeur pointée par AnthonyWJones répondre.

    OriginalL'auteur Frédéric