मैंने सोचा था। .ASPXAUTH उपयोगकर्ता प्रमाणीकरण के लिए था? क्या कोई यह पुष्टि कर सकता है कि क्या यह कुकी वास्तव में एक सुरक्षा जोखिम है और/या सत्र की जानकारी है? क्या यह भी माना जाता है या यह कुछ डीबग चीज है?प्रवेश परीक्षकों का कहना है कि .ASPXAUTH कुकी असुरक्षित है और सत्र डेटा प्रदर्शित कर रही है?
मुझे लगता है कि आपने कुछ टिप्पणियों में भाग लिया है जिन्हें फॉर्म प्रमाणीकरण सुरक्षा के साथ करना है। आप यहां अधिक जानकारी प्राप्त कर सकते हैं: एच ttp://visualstudiomagazine.com/articles/2010/09/14/aspnet-security-hack.aspx
यह क्या उबलता है कि एक चालाक हैकर कुकीज को एन्क्रिप्ट करने के लिए उपयोग की जाने वाली मशीन कुंजी को खोज सकता है और अपनी जाली ऑथ कुकीज़ बना सकता है।
शायद यह उल्लेख करने लायक है कि पूरी तरह से पैच किए गए सर्वर अब इस भेद्यता को प्रदर्शित नहीं करते हैं: http://technet.microsoft.com/en-us/security/bulletin/MS10-070 – Tao
असल में वे प्रति मशीन मशीन की खोज नहीं कर सके से। उन्होंने सर्वर के त्रुटि संदेश का उपयोग सर्वर को पैडिंग ऑरैकल के रूप में करने के लिए किया था। ऑरैकल और ब्रूट-फोर्स का उपयोग करके वे एक समय में एक स्ट्रिंग, एक बिट एन्क्रिप्ट कर सकते हैं। 'Web.config' के लिए एन्क्रिप्टेड अनुरोध बनाकर। डिफ़ॉल्ट रूप से इसमें मशीनकी नहीं होती है; डिफ़ॉल्ट रूप से यह प्रक्रिया में प्रति ऐप उत्पन्न होता है, जब तक कि आप स्वयं को एक कुंजी उत्पन्न और कॉन्फ़िगर नहीं करते। हालांकि, 'web.config' लीक करना अभी भी एक खराब बात ™ है। –
प्रश्न से http://stackoverflow.com/questions/423467/what-is-aspxauth-cookie - .aspxauth सत्र से संबंधित नहीं है - यह उपयोगकर्ता की पहचान करता है। –