ID do artigo: 900111 - �ltima revis�o: quinta-feira, 24 de maio de 2007 - Revis�o: 4.3

O m�todo FormsAuthentication.SignOut n�o impede ataques de resposta de cookie em aplicativos ASP.NET

Clique aqui para exibir o artigo traduzido e o artigo original em ingl�s, lado a lado.

Exibir Aviso de Isen��o de Tradu��o Autom�tica

Exibir os produtos aos quais esse artigo se aplica.

Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que est� a utilizar. Foi desactivado o conte�do do artigo, que pode n�o ser relevante para si.

Informa��es de vers�o beta

Este artigo aborda uma vers�o beta de um Microsoft produto. As informa��es neste artigo s�o fornecidas como - � e est�o sujeitas a altera��es sem aviso pr�vio.

Nenhum suporte formal est� dispon�vel da Microsoft para este produto beta. Para obter informa��es sobre como obter suporte para uma vers�o beta, consulte a documenta��o que acompanha o Beta arquivos do produto ou verifique o local da Web onde voc� a vers�o foi baixada.

Nesta p�gina

Expandir tudo | Recolher tudo

Sum�rio

Este artigo descreve as limita��es do m�todo FormsAuthentication.SignOut e fornece mais informa��es sobre como facilitar ataques de resposta de cookie quando um cookie de autentica��o de formul�rios pode ter sido obtido por um usu�rio mal-intencionado. Este artigo apresenta os seguintes m�todos que voc� pode usar para ajudar a reduzir ataques de repeti��o de cookie em aplicativos Microsoft ASP.NET:

ajudar a proteger o aplicativo usando SSL
aplicativo Configurar na Web no Microsoft (IIS) que SSL � necess�rio. Se voc� fizer isso, certeza que o recurso de autentica��o de formul�rios nunca emitir� um cookie em uma conex�o SSL n�o.
Aplicar TTL e expira��o absoluta
Se voc� usar um TTL pequeno, pode ajudar reduzir as chances de tal ataque. Voc� tamb�m deve usar expira��o absoluta em vez de Deslizar expira��o.
uso HttpOnly cookies e autentica��o de formul�rios no ASP.NET 2.0
Os cookies de autentica��o no ASP.NET 2.0, formul�rios s�o cookies HttpOnly. Os cookies HttpOnly n�o podem ser acessados por meio de script de cliente. Essa funcionalidade ajuda a reduzir as chances de ataques de repeti��o.
Use a classe Membership no ASP.NET 2.0
no ASP.NET 2.0, voc� pode proteger cookies de autentica��o de formul�rios sejam usados maliciosamente armazenando informa��es de usu�rio no objeto MembershipUser .

Voltar para o in�cio

INTRODU��O

Este artigo descreve um problema que pode ocorrer se um cookie de autentica��o de formul�rios � obtido por um usu�rio mal-intencionado. Nesse cen�rio, o cookie pode ser usado para autentica��o um formul�rios autentica��o aplicativo ASP.NET ap�s FormsAuthentication.SignOut m�todo foi chamado. Um usu�rio mal-intencionado n�o teria como obter o cookie de autentica��o de formul�rios de outro usu�rio, a menos que o sistema do usu�rio foi comprometido.

Voltar para o in�cio

Mais Informa��es

O m�todo FormsAuthentication.SignOut remove o cookie de autentica��o de formul�rios do computador cliente. No entanto, o m�todo FormsAuthentication.SignOut n�o armazena qualquer representa��o persistente no servidor do usu�rio sair da rede. Portanto, se o cookie de autentica��o de formul�rios n�o est� adequadamente protegido e o cookie de maneira mal-intencionada � obtido por um terceiro, esse cookie pode ser usado para autenticar para o servidor depois que o m�todo FormsAuthentication.SignOut tiver sido chamado. Esse comportamento pode ocorrer at� a expira��o do t�quete de autentica��o de formul�rios que contidas no cookie.

Observa��o Embora um cookie tamb�m tem de expira��o, autentica��o de formul�rios sempre usa o tempo de expira��o que est� contido dentro de formul�rios t�quete de autentica��o quando a autentica��o de formul�rios determina se o t�quete � considerado expirou.

Para ajudar a reduzir as chances de tal ataque, ajudar a melhorar a prote��o do cookie de autentica��o de formul�rios usando SSL (Secure Sockets LAYER). Voc� tamb�m deve usar expira��o absoluta em vez de uma expira��o sliding. Expira��o absoluta restringe o tempo de vida (TTL) para o t�quete de autentica��o de formul�rios.

O ASP.NET 2.0 tamb�m adiciona funcionalidade que voc� pode usar para ajudar a reduzir ataques de repeti��o usando o cookie de autentica��o de formul�rios. Voc� pode usar a classe Membership no ASP.NET 2.0 para promover uma solu��o mais segura para assinar os usu�rios de autentica��o de formul�rios.

Voltar para o in�cio

Ajudar a proteger o aplicativo usando SSL

Configurando o aplicativo da Web no Microsoft Internet Information Services (IIS) para que o SSL � necess�rio, todas as informa��es que passam entre o cliente e o navegador da Web ser�o criptografadas. Ao usar esse m�todo, o atributo requireSSL do <forms> elemento tamb�m deve ser definido como true . Quando esse atributo � true , um navegador compat�vel n�o enviar� o cookie a menos que a conex�o est� sendo enviada atrav�s de SSL e o recurso de autentica��o de formul�rios nunca emitir� um cookie em uma conex�o SSL n�o.

Em casos onde um site tem algumas p�ginas que est�o sob SSL e outras p�ginas que n�o est�o sob SSL, o atributo requireSSL foi projetado para garantir que o navegador n�o envia o cookie de autentica��o de formul�rios quando p�ginas n�o-SSL s�o solicitadas. No entanto, o agente de usu�rio tem a responsabilidade para aplicar a regra que o navegador n�o envia o cookie de autentica��o de formul�rios quando p�ginas n�o-SSL s�o solicitadas. Portanto, se voc� configurar o aplicativo inteiro para exigir SSL, voc� ajudar aumentar a seguran�a.

Para obter mais informa��es sobre como configurar um aplicativo para SSL, clique no n�mero abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

299875� (http://support.microsoft.com/kb/299875/ ) Como implementar o SSL em um computador Windows 2000 IIS 5.0

Voltar para o in�cio

Aplicar TTL e expira��o absoluta

Usando um TTL curto que pode ser configurado atrav�s do atributo tempo limite do <forms> elemento, voc� pode ajudar a reduzir o risco de um ataque de repeti��o de cookie. Voc� tamb�m deve observar que o atributo slidingExpiration deve ser definido como false . Por padr�o, a configura��o no ASP.NET 2.0 � true .

Voltar para o in�cio

Usar HttpOnly cookies e autentica��o de formul�rios no ASP.NET 2.0

No ASP.NET 2.0, os cookies de autentica��o de formul�rios s�o os cookies HttpOnly. Os cookies HttpOnly n�o podem ser acessados usando um script de cliente. No entanto, a propriedade HttpOnly somente est� dispon�vel no Microsoft Internet Explorer 6 Service Pack 1 (SP1). Agentes de usu�rio anterior ignorar� a propriedade.

Para obter mais informa��es sobre os cookies HttpOnly, visite o seguinte site da Web Microsoft Developer Network (MSDN):

http://msdn2.microsoft.com/en-us/library/ms533046.aspx (http://msdn2.microsoft.com/en-us/library/ms533046.aspx)

Voltar para o in�cio

Usar a classe Membership no ASP.NET 2.0

Ao implementar autentica��o de formul�rios no ASP.NET 2.0, voc� tem a op��o de armazenar informa��es do usu�rio em um provedor de associa��es . Esta op��o � um recurso novo que � apresentado em ASP.NET 2.0. O objeto MembershipUser cont�m usu�rios espec�ficos.

Se o usu�rio estiver conectado, voc� pode armazenar essas informa��es na propriedade coment�rio do objeto MembershipUser . Se voc� usar essa propriedade, voc� pode desenvolver um mecanismo para reduzir problemas de repeti��o de cookie no ASP.NET 2.0. Esse mecanismo seria execute estas etapas:

Criar um HttpModule que conecta o evento PostAuthenticateRequest .
Se um objeto FormsIdentity estiver na propriedade HttpContext.User , a classe FormsAuthenticationModule reconhece o t�quete de autentica��o de formul�rios como v�lido. Em seguida, a classe HttpModule personalizado obt�m uma refer�ncia � inst�ncia MembershipUser que est� associada com o usu�rio autenticado.
Voc� examinar a propriedade Comment para determinar se o usu�rio est� conectado no momento.

importante Voc� deve armazenar informa��es na propriedade coment�rio que indica quando o usu�rio explicitamente desconectado. Al�m disso, voc� deve limpar as informa��es que est� na propriedade coment�rio quando o cliente eventualmente entra novamente.

Se o usu�rio n�o est� conectado atualmente conforme indicado pela propriedade Comment , ser� necess�rio executar as seguintes a��es:

Desmarque o cookie.
Defina a propriedade Response.Status para 401.
Fazer uma chamada para o m�todo de Response.End implicitamente redirecionar� a solicita��o para a p�gina de logon.

Usando esse m�todo, o cookie de autentica��o de formul�rios ser� aceito somente se o usu�rio n�o foi assinado explicitamente check-out e o t�quete de autentica��o de formul�rios ainda n�o tenha expirado.

Voltar para o in�cio

Refer�ncias

Para obter mais informa��es sobre como ajudar a proteger os cookies de autentica��o de formul�rios usando SSL, clique no n�mero abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

813829� (http://support.microsoft.com/kb/813829/ ) Ajude a autentica��o de formul�rios seguro usando Secure Sockets Layer (SSL)

Voltar para o in�cio

A informa��o contida neste artigo aplica-se a:

Microsoft ASP.NET 1.1
Microsoft ASP.NET 1.0
Microsoft ASP.NET 2.0

Voltar para o in�cio

kbmt kbauthentication kbprogramming kbiis kbsecurity kbservicepack kbhowto kbinfo KB900111 KbMtpt

Voltar para o in�cio

Tradu��o autom�tica

IMPORTANTE: Este artigo foi traduzido por um sistema de tradu��o autom�tica (tamb�m designado por Machine Translation ou MT), n�o tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplica��es (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em portugu�s a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradu��o autom�tica n�o � sempre perfeita, podendo conter erros de vocabul�rio, sintaxe ou gram�tica. A Microsoft n�o � respons�vel por incoer�ncias, erros ou preju�zos ocorridos em decorr�ncia da utiliza��o dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualiza��es freq�entes ao software de tradu��o autom�tica (MT). Obrigado.

Clique aqui para ver a vers�o em Ingl�s deste artigo: 900111� (http://support.microsoft.com/kb/900111/en-us/ )

Voltar para o in�cio

This site in other countries/regions:

O m�todo FormsAuthentication.SignOut n�o impede ataques de resposta de cookie em aplicativos ASP.NET

Informa��es de vers�o beta

Nesta p�gina

Sum�rio

INTRODU��O

Mais Informa��es

Ajudar a proteger o aplicativo usando SSL

Aplicar TTL e expira��o absoluta

Usar HttpOnly cookies e autentica��o de formul�rios no ASP.NET 2.0

Usar a classe Membership no ASP.NET 2.0

Refer�ncias

A informa��o contida neste artigo aplica-se a:

Palavras-chave:�

Outros Sites de Suporte

Comunidades

Obtenha Ajuda Agora

Tradu��es deste artigo

Centros de suporte relacionados