Actualmente estoy revisando una de mis aplicaciones web y esperaba algún consejo para mejorar mi seguridad.Asegurando la autenticación basada en cookies
Notaré que la aplicación está en ASP.net y la implementación actual me impide usar la autenticación integrada. Esto tampoco es de ninguna manera una aplicación que requiere alta seguridad, solo me gusta tener mis bases cubiertas.
En el pasado he almacenado el id y un token. El token es un hash del ID del usuario + el Salt del usuario (reutilizando el valor de la información de autenticación) Cuando un usuario visita el sitio, el ID se compara con el token y se lo autentica en consecuencia.
Se me ocurre que aquí hay un gran agujero. Teóricamente, si alguien tiene en sus manos un valor de sal, todo lo que tendrían que hacer es adivinar el algoritmo hash e iterar a través de las posibles identificaciones hasta que ingresen. No espero que esto suceda, pero todavía parece un error .
¿Algún consejo sobre cómo confirmar correctamente que las cookies de usuario no se han modificado?
Añadiré que parte de lo que me molesta es que si alguien obtuviera los valores de sal y los hashes de contraseña para el sitio, no les haría ningún bien con la autenticación de contraseña pura. Me parece que un buen método de autenticación de cookies funcionaría de manera similar. –