Pensé que .ASPXAUTH era para autenticación de usuario? ¿Alguien puede confirmar si esta cookie es realmente un riesgo de seguridad y/o contiene información de la sesión? ¿Se supone que debe ser usado o es algo de depuración?Los evaluadores de penetración dicen que la cookie .ASPXAUTH es insegura y muestra datos de sesión?
Creo que se han encontrado con algunos comentarios que tienen que ver con la seguridad de la autenticación de formularios. Puede encontrar más información aquí: h ttp://visualstudiomagazine.com/articles/2010/09/14/aspnet-security-hack.aspx
Lo que se reduce a es que un hacker inteligente puede descubrir la clave de máquina que se utiliza para cifrar los cookeis y crear sus propias cookies de autenticación falsificados.
Probablemente valga la pena mencionar aquí que los servidores completamente reparados ya no muestran esta vulnerabilidad: http://technet.microsoft.com/en-us/security/bulletin/MS10-070 – Tao
En realidad no pudieron descubrir la clave de la máquina por se. Utilizaron los mensajes de error del servidor para usar el servidor como un oráculo de relleno. Usando el oráculo y la fuerza bruta podían cifrar cualquier cadena, bit por bit. Al construir una solicitud encriptada para 'web.config'. Por defecto, esto no contiene la clave de máquina; de forma predeterminada, se genera por aplicación en proceso, a menos que genere y configure una clave usted mismo. Sin embargo, 'web.config' de escape todavía es un Bad Thing ™. –
De la pregunta http://stackoverflow.com/questions/423467/what-is-aspxauth-cookie - .aspxauth no está relacionado con la sesión - identifica al usuario. –