Estoy tratando de escribir una cookie en ASP.NET bajo https, pero veo una cookie de texto plano en la máquina del cliente. ¿No debería la cookie estar encriptada por defecto bajo una conexión https?¿Debería codificarse el contenido de las cookies al usar https?
La respuesta breve es no, las cookies no están encriptadas en ASP.NET bajo SSL. SSL es un protocolo de nivel de transporte que encripta solo las comunicaciones entre el cliente y el servidor. Las cookies y los valores de cadena de consulta NO están encriptados por SSL. Una vez que la cookie está en la máquina cliente, se deja en el formato en que dejó el servidor.
Su cookie solo se encriptará durante la transmisión de la cookie a/desde su navegador. Si desea que la cookie se cifre en el almacén de cookies del navegador, primero deberá encriptarla en el servidor y luego descifrarla en el servidor cuando se use en scripts del lado del servidor.
SSL/TLS es solo un mecanismo de seguridad de transporte para cifrar solicitudes/respuestas en el cable, depende del navegador proporcionar un mecanismo para almacenar cookies de forma segura en el cliente (o como se mencionó anteriormente, su aplicación puede hacerlo)
Debe estar cifrado en el cable y luego descifrado por su navegador.
No, AFAIK solo la transferencia está encriptada, la cookie en el lado del cliente no. Debe encriptarlo usted mismo para una mejor seguridad.
Esto podría ayudarlo a encriptar la cookie. http://www.15seconds.com/Issue/021210.htm
Aunque el ejemplo usa Triple DES, puede o no ser el mejor algoritmo dependiendo de su perspectiva.
Solo para referencia futura, terminé usando este http://69.10.233.10/KB/aspnet/DataEncryption.aspx. Utiliza las clases de marco y una clave de máquina. – Dante