Comment sécuriser ASP classique aspsessionid ne cookie?
Est-il un moyen pour marquer ASP classique aspsessionid ne* cookies sécurisés? Il semble que l'ASP gestionnaire ISAPI ajoute que le cookie de session après ma page est faite de rendu afin de mettre le code à la fin de ma page pour en faire une boucle par la Réponse.La collecte de témoins et de les marquer comme sécurisé ne semble pas toucher le aspsessionid ne* cookie. Toute autre manière de procéder?
Réponse ajustée, il y a une façon de le faire.
OriginalL'auteur slolife | 2009-06-04
Vous devez vous connecter pour publier un commentaire.
La réponse est non il n'y a pasIl n'y a pas sur le standard de l'INTERFACE utilisateur fournie par le gestionnaire des services IIS. Cependant, vous pouvez sécuriser les cookies pour le SessionID via le AspKeepSessionIDSecure valeur de la MétabaseEn supposant que tout le trafic est de plus de HTTPS, il ne sera pas. Il y a une possibilité qu'il pourrait être si l'utilisateur supprime le 's' de http et essaie de parler à votre site. Mais même s'ils font ce qui est du préjudice que si votre site n'utilise Https?
Je suis entièrement d'accord avec vous que c'est tiré par les cheveux, mais l'un de nos clients, dans la révision de notre code, cela comme un problème. Pas une question de haute priorité, mais quelque chose que je voulais étudier. Même si le serveur ne parle pas http, le navigateur ne sait pas qui et envoyer le cookie sur http depuis un bit Sécurisé n'est pas définie sur le cookie.
BTW, ce lien: microsoft.com/technet/security/bulletin/MS00-080.mspx me Fait penser qu'il est possible ou même pris en charge. L'article parle IIS4 ou 5, mais je suis en cours d'exécution 5.1 et 6. Avez-vous des documents à l'appui de votre réponse "Non, il n'est pas possible"?
Non, en fait je viens de trouver de la documentation qui montre comment c'est possible ;).
OriginalL'auteur AnthonyWJones
Je lance cette commande:
CSCRIPT C:\Inetpub\AdminScripts\adsutil.vbs set w3svc/1/AspKeepSessionIDSecure 1
Plus d'informations ici: http://blogs.msdn.com/b/rahulso/archive/2007/06/19/cookies-case-study-with-ssl-and-frames-classic-asp.aspx
OriginalL'auteur Julio Garcia
[Edit: Vous pouvez ignorer les suivantes. Je viens de réaliser que vous parliez de la aspsessionid ne.}
Il est intégré dans la prise en charge de secure cookies.
Voir http://msdn.microsoft.com/en-us/library/ms524757.aspx
Exemple (pour ASP.Net, pas Classique ASP):
OriginalL'auteur JDog
Comme l'a constaté ici, un UrlRewrite règle peut gérer cela.
Les règles ci-dessous le manipuler pour l'ajout de deux
HttpOnly
etSecure
si elles sont manquantes sur laASPSESSIONID
cookie. (Pour les autres cookies, normalement ils sont émis par le site de l'ASP code: mieux gérer directement dans le code responsable pour eux.)Si UrlRewrite n'est pas installé sur le Serveur IIS, cela permettra de planter le site.
Noter que le
Secure
règle ne doit pas être appliqué si le site est légitimement accessibles surhttp
au lieu dehttps
, donc la condition pour qu'il n'en émet pas lors de la navigation locale. SiSecure
est émise pour un site accessible surhttp
de la part du client final, le client ne sera pas envoyer le cookie au serveur.(Je éviter de tester le protocole entrants, parce que les sites je travaille ne sont pas censés être consulté sur
http
de toute façon, à l'exception, éventuellement, directement à partir de leur serveur d'hébergement ou d'équilibrage de charge.)J'ai déjà essayé d'utiliser asp/session/keepSessionIdSecure, mais il n'a pas d'effet (au moins pour un site derrière un répartiteur de charge de résiliation de l'https et l'accès au serveur de site sur http). Ce paramètre est la version moderne (IIS 7+) de la
AspKeepSessionIDSecure
Métabase valeur pointée par AnthonyWJones répondre.OriginalL'auteur Frédéric