Cómo proteger el token .ASPXAUTH

Question

Cómo se asegura el token .ASPXAUTH para que se envíe a través de SSL.

Answer 1

Directamente desde msdn docs:

Para evitar que las cookies de autenticación formas de ser capturado y manipulado mientras cruza la red, asegúrese de que utiliza SSL con todas las páginas que requieren acceso autenticado y restringir las formas vales de autenticación a los canales SSL configurando requireSSL="true" en el elemento <forms>.

Para restringir las formas cookies de autenticación de canales SSL establece requireSSL="true" en el elemento <forms>, como se muestra en el siguiente código:

<forms loginUrl="Secure\Login.aspx" requireSSL="true" ... />

Al establecer requireSSL="true", se establece la propiedad de galletas seguro que determina si los navegadores deberían envíe la cookie al servidor . Con el conjunto de propiedades seguras, la cookie se envía mediante el navegador solo a una página segura que se solicita mediante una URL HTTPS.

Nota: que cuando se utiliza requireSSL="true", la cookie de autenticación se envía solamente para páginas solicitadas a través de SSL. Por lo tanto, si accede a una página a través de HTTP (no SSL), puede parecer que no ha iniciado sesión. Este artículo habla sobre el problema y propone una solución, ya que pertenece a un sitio de SharePoint (pero la teoría es transferible): Securing the authentication cookie for mixed SSL SharePoint sites