Informações sobre como proteger cookies com atributos de caminho em relação ao ASP.NET e IIS

1

Preciso de ajuda para proteger os cookies do meu aplicativo da web. Ele está implantado no IIS e é construído no ASP.NET MVC. Estas são as coisas que preciso para obter mais informações sobre

  1. A pasta Sites no Gerenciador do IIS também é um diretório virtual?
  2. Se o Google Sites não for um diretório virtual, uma. Se o site for implantado diretamente na pasta Sites do Gerenciador do IIS, ele será realmente vulnerável a outros aplicativos inseguros na mesma pasta Sites? OU b. Será vulnerabilidade apenas no caso de diretórios virtuais?

  3. Por padrão, o atributo path de todos os cookies aponta para root com '/' como seu valor. Ele aponta para o nível de hierarquia de aplicativos da Web em Sites e afetará outros aplicativos não seguros? OU Ele aponta apenas para o aplicativo da web para o qual os cookies foram criados?

Depois de passar por este artigo , levantei as questões acima. Basta procurar o atributo do caminho na página.

Se eu realmente preciso definir o caminho dos cookies, há mais uma coisa: eles estão sendo gerados automaticamente com meu aplicativo da web, como ID da sessão e token anti-falsificação. Portanto, não posso definir a propriedade Path neles, pois não os estou criando com o objeto HttpCookie.

Estou tentando reunir o máximo de explicações claras possíveis no google, mas é difícil esclarecer o fluxo.

    
por Akshay Raut 07.06.2017 / 08:49

1 resposta

0

No Gerenciador do IIS, "Sites" não é um diretório virtual nem uma "pasta". É um nó. Abaixo estão todos os sites individuais definidos no IIS. Isso sozinho não transmite informações específicas sobre se os cookies podem ou não ser compartilhados entre os sites.

O navegador, que determina quais cookies serão enviados com qual solicitação não se importa com a forma como você definiu sites no IIS, ou diretórios virtuais que podem viver sob esses sites ... Ele só se importa com as propriedades de uma solicitação específica e as propriedades do conjunto de cookies que está armazenando e, comparando as propriedades da solicitação com as propriedades dos cookies, decide quais cookies devem ser enviados.

Algumas das propriedades específicas que podem sobre: O domínio ou endereço da solicitação, o caminho da solicitação, o protocolo da solicitação, o domínio ou o endereço do qual o cookie foi definido, a propriedade do domínio do cookie, a path propriedade do cookie e o sinalizador seguro no cookie.

Esses valores podem ser mapeados para apenas um único site no IIS ou podem ser mapeados para vários sites quando você configura sites usando subdomínios. Então, não há regra geral. Você precisará examinar sua configuração para determinar quais sites corresponderão a qualquer origem de cookie.

    
por 07.06.2017 / 17:30