У меня сложилось впечатление, что членство ASP.NET шифрует свой файл cookie по умолчанию.Является ли членство ASP.NET защищенным от Firesheep?
Можно ли предположить, что членство ASP.NET защищает от захвата сессии (ala Firesheep)?
Членство в ASP.NET использует тот же механизм, что и любой другой сайт, и абсолютно уязвим для атаки Firesheep. Сам файл cookie не может быть зашифрован таким образом, чтобы он не был захвачен. Вся связь с сервером должна быть зашифрована для защиты от захвата сеанса, используя шифрование по протоколу SSL или WEP.
Печенье зашифровано, но это не мешает кому-то, кто получает куки-файл от действия как вы.
Только если весь сеанс находится на HTTPS.
Firesheep не заботится о содержании из файла cookie; все, что нужно сделать, это дублировать файл cookie в браузере злоумышленника.
Пока файл cookie отправляется в ясном тексте (в отличие от HTTPS или WPA), вы по-прежнему уязвимы.
Спасибо всем - SSL за весь сеанс это :) –