Ich denke, dass Sie das Problem überdenken. Die Fähigkeit, einen Cookie zu kopieren, ist nur ein inhärentes Problem von Cookies - jeder kann jeden Cookie abfangen und die Daten, die sich dort befinden, imitieren, indem er sie auf einem anderen Rechner einrichtet.
Die "Sicherheit" des Authentifizierungscookies kommt von der Tatsache, dass niemand (angeblich) den Cookie von Hand herstellen kann, um einen authentifizierten Benutzer zu fälschen. Sobald der Cookie erstellt wurde, kann er natürlich zur Authentifizierung verwendet werden. Dies bedeutet, dass Sie, bevor Ihr "Problem" auftritt, immer noch einen gültigen Benutzer anmelden müssen. Wenn dieser Benutzer das System missbraucht, indem er sein Cookie auf andere Maschinen kopiert, um jedem Zugriff zu gewähren, ist es genau dasselbe, wenn der Benutzer jedem nur seinen Benutzernamen und sein Passwort mitteilt, außer viel stumpfer. Daher ist das Problem nicht das Kopieren des Cookies - es ist die Benutzerin selbst. Ein weiterer Angriffsvektor wäre, wenn das Netzwerk kompromittiert ist und jemand den Verkehr abfangen kann, um den Cookie über einen Sniffer oder was auch immer zusammenzufügen - aber wiederum ist dies bei Cookies selbst inhärent. Dies wird als Session-Hijacking bezeichnet, und die einzige Möglichkeit, dies zu verhindern, besteht darin, SSL für Ihre Site zu verwenden.
Wenn Sie sich wirklich Sorgen machen, würde ich einfach Ihre Authentifizierungs- und Sitzungszeitlimits einstellen und dann in Ihrer global.asax-Datei einfach FormsAuthentication.Signout() aufrufen, wenn die Benutzersitzung abläuft. Dadurch wird die Authentifizierung jedes Mal ungültig, wenn der Benutzer seine Sitzung beendet hat, sodass er sich später erneut anmelden muss. Natürlich könnte dies eine extreme Belästigung für Ihre Benutzer sein ...
Ich würde auch sehr empfehlen This MSDN article. Es beantwortet wahrscheinlich Ihre Fragen viel besser als ich kann.
Ist das etwas, das Sie tatsächlich versucht haben? Sie haben tatsächlich eine andere Maschine mit einem Cookie von einer anderen Maschine angemeldet? Ich dachte, es gäbe eine Verschlüsselung pro Sitzung. –
Ein Kollege hat es versucht. Ich weiß nicht, ob eine Verschlüsselung konfiguriert wurde. – tjrobinson