Artigo: 900111 - �ltima revis�o: quinta-feira, 24 de Maio de 2007 - Revis�o: 4.3

O m�todo FormsAuthentication.SignOut n�o impede ataques de resposta de cookie nas aplica��es do ASP.NET

Clique aqui para exibir o artigo traduzido e o artigo original em ingl�s, lado a lado.

Ver isen��o de responsabilidades para tradu��o autom�tica

Ver produtos para os quais este artigo se aplica.

Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que est� a utilizar. Foi desactivado o conte�do do artigo, que pode n�o ser relevante para si.

Informa��es sobre o Beta

Este artigo aborda uma vers�o beta de um Microsoft produto. As informa��es contidas neste artigo s�o fornecidas como est� e est�o sujeitas a altera��es sem aviso pr�vio.

N�o fornece suporte t�cnico formal est� dispon�vel a partir da Microsoft para este produto beta. Para obter informa��es sobre como obter suporte para uma vers�o beta, consulte a documenta��o inclu�da com o Beta ficheiros do produto ou verifica��o da Web local onde transferiu o.

Nesta p�gina

Expandir tudo | Reduzir tudo

Sum�rio

Este artigo descreve as limita��es do m�todo FormsAuthentication.SignOut e fornece mais informa��es sobre a facilitar a ataques de resposta de cookie quando um cookie de autentica��o de formul�rios pode ter sido obtido por um utilizador mal intencionado. Este artigo apresenta os seguintes m�todos que pode utilizar para ajudar a reduzir ataques de reprodu��o de cookie nas aplica��es do Microsoft ASP.NET:

ajudar a proteger a aplica��o utilizando SSL
aplica��o Configurar na Web no Microsoft (IIS) pelo que esse SSL � necess�ria. Se o fizer, certifique-se de que a funcionalidade de autentica��o de formul�rios nunca emite um cookie atrav�s de uma liga��o de SSL n�o.
Impor TTL e expira��o absoluta
Se utilizar um TTL curto, pode ajudar a reduzir a probabilidade de um ataque. Tamb�m deve utilizar expira��o absoluta em vez de deslizamento expira��o.
autentica��o de cookies e formul�rios HttpOnly utilizado no ASP.NET 2.0
Os cookies de autentica��o no ASP.NET 2.0, formul�rios s�o HttpOnly cookies. HttpOnly cookies n�o podem ser acedidos atrav�s de script do cliente. Esta funcionalidade ajuda a reduzir as hip�teses de ataques de reprodu��o.
utilizar a classe de associa��o no ASP.NET 2.0
no ASP.NET 2.0, pode ajudar a proteger os cookies de autentica��o de formul�rios de serem utilizadas maliciosamente armazenando informa��es de utilizador no objecto MembershipUser .

Voltar ao topo

INTRODU��O

Este artigo descreve um problema que poder� ocorrer se um cookie de autentica��o de formul�rios � obtido por um utilizador mal intencionado. Neste cen�rio, o cookie pode ser utilizado para autenticar um formul�rios autentica��o aplica��o do ASP.NET ap�s FormsAuthentication.SignOut m�todo foi chamado. Um utilizador mal intencionado n�o teria como obter o cookie de autentica��o de formul�rios de outro utilizador a menos que o sistema do utilizador foi comprometido.

Voltar ao topo

Mais Informa��o

O m�todo FormsAuthentication.SignOut remove o cookie de autentica��o de formul�rios do computador cliente. No entanto, o m�todo FormsAuthentication.SignOut n�o armazena qualquer representa��o persistente no servidor do utilizador terminar a sess�o. Por conseguinte, se o cookie de autentica��o de formul�rios n�o est� protegido adequadamente e o cookie de forma maliciosa � obtido por terceiros, esse cookie pode ser utilizado para autenticar o servidor depois do m�todo FormsAuthentication.SignOut ter sido chamado. Este comportamento pode ocorrer at� � expira��o da permiss�o de autentica��o de formul�rios contidas no cookie.

Nota Apesar de um cookie ter tamb�m expira��o, sempre a autentica��o de formul�rios utiliza a hora de expira��o contido no formul�rios permiss�o de autentica��o quando a autentica��o por formul�rios determina se a permiss�o � considerada expirou.

Para ajudar a reduzir as hip�teses de um ataque, ajudar a melhorar a protec��o do cookie de autentica��o de formul�rios utilizando (Secure Sockets Layer). Dever� tamb�m utilizar expira��o absoluta em vez de um cursor de deslocamento de validade. Expira��o absoluta limita o tempo restante (TTL) para a permiss�o de autentica��o de formul�rios.

ASP.NET 2.0 tamb�m adiciona funcionalidades que pode utilizar para ajudar a reduzir ataques de reprodu��o utilizando o cookie de autentica��o de formul�rios. Pode utilizar a classe de associa��o no ASP.NET 2.0 para promover uma solu��o mais segura para terminar sess�o aos utilizadores de autentica��o de formul�rios.

Voltar ao topo

Ajudar a proteger a aplica��o utilizando SSL

Ao configurar a aplica��o da Web no Microsoft (IIS) para que seja necess�rio SSL, todas as informa��es transmitidas entre o cliente e o navegador da Web ser�o encriptadas. Quando utilizar este m�todo, o atributo requireSSL o <forms> elemento tamb�m deve ser definido como true . Quando este atributo � Verdadeiro , um browser compat�vel n�o enviar� o cookie a menos que a liga��o est� a ser enviada atrav�s de SSL e a funcionalidade de autentica��o de formul�rios nunca emite um cookie atrav�s de uma liga��o de SSL n�o.

Em casos em que um site tem algumas p�ginas que est�o em SSL e outras p�ginas que n�o est�o sob o SSL, o atributo requireSSL foi concebido para se certificar de que o browser n�o envia o cookie de autentica��o de formul�rios quando forem solicitadas n�o SSL p�ginas. No entanto, o agente de utilizador tem a responsabilidade para aplicar a regra que o browser n�o envia o cookie de autentica��o de formul�rios quando forem solicitadas n�o SSL p�ginas. Por conseguinte, se configurar a aplica��o completa para exigir SSL, ajuda melhorar a seguran�a.

Para obter mais informa��es sobre como configurar uma aplica��o para SSL, clique no n�mero de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:

299875� (http://support.microsoft.com/kb/299875/ ) Como implementar SSL num computador Windows 2000 IIS 5.0

Voltar ao topo

Impor TTL e expira��o absoluta

Ao utilizar um TTL breve que pode ser configurado atrav�s do atributo de tempo de espera do <forms> elemento, pode ajudar reduzir o risco de um ataque de reprodu��o do cookie. Tamb�m deve verificar que o atributo slidingExpiration deve ser definido como false . Por predefini��o, a defini��o no ASP.NET 2.0 � true .

Voltar ao topo

Utilizar autentica��o de cookies e formul�rios HttpOnly no ASP.NET 2.0

No ASP.NET 2.0, os cookies de autentica��o de formul�rios s�o HttpOnly cookies. Cookies HttpOnly n�o podem ser acedidos utilizando um script de cliente. No entanto, a propriedade HttpOnly s� est� dispon�vel no Microsoft Internet Explorer 6 Service Pack 1 (SP1). Anterior user agents ignorar� a propriedade.

Para obter mais informa��es sobre cookies HttpOnly, visite o seguinte Web site da Microsoft Developer Network (MSDN):

http://msdn2.microsoft.com/en-us/library/ms533046.aspx (http://msdn2.microsoft.com/en-us/library/ms533046.aspx)

Voltar ao topo

Utilizar a classe de associa��o no ASP.NET 2.0

Quando implementar a autentica��o por formul�rios no ASP.NET 2.0, pode optar por armazenar informa��es de utilizador num fornecedor de membros . Esta op��o � uma nova funcionalidade que � introduzida no ASP.NET 2.0. O objecto MembershipUser cont�m utilizadores espec�ficos.

Se o utilizador tiver sess�o iniciado, pode armazenar estas informa��es na propriedade do objecto MembershipUser coment�rio . Se utilizar esta propriedade, pode desenvolver um mecanismo para reduzir problemas de reprodu��o de cookies no ASP.NET 2.0. Este mecanismo seria siga estes passos:

Criar um HttpModule cria hooks evento PostAuthenticateRequest .
Se um objecto FormsIdentity � na propriedade HttpContext.User , a classe FormsAuthenticationModule reconhece a permiss�o de autentica��o de formul�rios como v�lido. Em seguida, a classe personalizada HttpModule obt�m uma refer�ncia � inst�ncia MembershipUser associada ao utilizador autenticado.
Examine a propriedade comment para determinar se o utilizador actualmente tem sess�o iniciada.

importante Tem de guardar informa��es na propriedade coment�rio que indica quando o utilizador explicitamente terminada. Al�m disso, tem de limpar as informa��es na propriedade coment�rio quando inicia o cliente eventualmente sess�o novamente.

Se o utilizador n�o tiver actualmente sess�o como indicado pela propriedade comment , ter� de efectuar as seguintes ac��es:

Desmarque o cookie.
Defina a propriedade Response.status para 401.
Efectuar uma chamada para o m�todo Response.End que redireccionar� implicitamente o pedido para a p�gina de in�cio de sess�o.

Utilizando este m�todo, o cookie de autentica��o de formul�rios ser� apenas aceite se o utilizador n�o foi explicitamente assinado e a permiss�o de autentica��o de formul�rios ainda n�o tenha expirado.

Voltar ao topo

Refer�ncias

Para obter mais informa��es sobre como ajudar a proteger os cookies de autentica��o de formul�rios utilizando SSL, clique no n�mero de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:

813829� (http://support.microsoft.com/kb/813829/ ) Ajude a autentica��o por formul�rios seguro utilizando Secure Sockets Layer (SSL)

Voltar ao topo

A informa��o contida neste artigo aplica-se a:

Microsoft ASP.NET 1.1
Microsoft ASP.NET 1.0
Microsoft ASP.NET 2.0

Voltar ao topo

kbmt kbauthentication kbprogramming kbiis kbsecurity kbservicepack kbhowto kbinfo KB900111 KbMtpt

Voltar ao topo

Tradu��o autom�tica

IMPORTANTE: Este artigo foi traduzido por um sistema de tradu��o autom�tica (tamb�m designado por Machine translation ou MT), n�o tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplica��es (MT) e artigos traduzidos por tradutores profissionais. O objectivo � simples: oferecer em Portugu�s a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradu��o autom�tica n�o � sempre perfeita. Esta pode conter erros de vocabul�rio, sintaxe ou gram�tica? erros semelhantes aos que um estrangeiro realiza ao falar em Portugu�s. A Microsoft n�o � respons�vel por incoer�ncias, erros ou estragos realizados na sequ�ncia da utiliza��o dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualiza��es frequentes ao software de tradu��o autom�tica (MT). Obrigado.

Clique aqui para ver a vers�o em Ingl�s deste artigo: 900111� (http://support.microsoft.com/kb/900111/en-us/ )

Voltar ao topo

This site in other countries/regions:

O m�todo FormsAuthentication.SignOut n�o impede ataques de resposta de cookie nas aplica��es do ASP.NET

Informa��es sobre o Beta

Nesta p�gina

Sum�rio

INTRODU��O

Mais Informa��o

Ajudar a proteger a aplica��o utilizando SSL

Impor TTL e expira��o absoluta

Utilizar autentica��o de cookies e formul�rios HttpOnly no ASP.NET 2.0

Utilizar a classe de associa��o no ASP.NET 2.0

Refer�ncias

A informa��o contida neste artigo aplica-se a:

Palavras-chave:�

Outros Sites de Suporte

Comunidades

Obtenha Ajuda Agora

Tradu��es de Artigos