Das Setup:Bild-Caching, Httphandler und FormsAuthentication
ich auf einer Website bin arbeiten, die Formsauthentication
, die Cookies verwendet das Login-Ticket zu speichern. Die Website verfügt auch über eine HTTPHandler
, die in der Datenbank gespeicherte Bilder verwaltet. Der Handler speichert die Bilder als öffentlich und läuft in 20 Minuten ab. Wir haben festgestellt, dass die Bilder, da die Bilder den gleichen Lebenszyklus wie eine Seite haben, auch den Cookie Formsauthentication
enthalten. Die Konfiguration ist IIS 6, Win2k-Server, Inhaltsablauf ist nicht aktiviert.
Das Problem:
Was wir erleben, ist Person A anmeldet und trifft auf ein paar Seiten. Dann trifft Person B die Standardseite, die sich nicht anmeldet, und erhält das Cookie für Person A und kann alle Daten der Person A sehen. Wir haben das Problem einmal reproduziert, indem wir Content Expiration in IIS aktiviert haben, aber nicht konsistent reproduziert, so dass wir nicht sicher sind, ob Content Expiration uns geholfen hat, es zu reproduzieren. Wir nehmen an, da die Bilder als öffentlich zwischengespeichert werden und sie auch das Cookie mit der FormsAuthentication
enthalten, ist es irgendwie möglich, dass Person B ungewollt den Cookie von Person A erhält. Wir wissen, dass dies kein Angriff auf die Website ist.
Hat jemand etwas ähnliches mit diesem Verhalten erlebt? Wenn ja, können Sie einen Rat geben, wie Sie dieses Problem konsequent reproduzieren können?
Sofern dies keine Antwort auf die Frage ist, bearbeiten Sie entweder Ihre Frage oder kommentieren Sie direkt die Antwort, die Sie kommentieren. Zu diesem Zweck gibt es ein Feld "Kommentar hinzufügen". –