我很困惑.我们的每位员工都必须登录我们的服务器,开始他们的ASP会话.我所做的所有研究表明,我们应该能够改变这个会话的持续时间,session.timeout x其中x是我们希望会话持续的分钟数,默认为20分钟.我已经改变了这个超时而没有任何一致的结果.
我终于设置了一个函数来检查我是否每10秒登录一次,看看是否可以确定一致的会话长度.到目前为止,在8次试验中,时间从7小时到40小时不等.我已经在chrome和firefox浏览器中完成了这个操作,以查看不同的会话时间,并且它们一直在同一时间超时.然而,同事们并没有在这些确切的时间里超时.
我读了一些关于global.asa的内容.我们要么没有使用这个,要么我们都不了解它,知道它在哪里.
我也读过并尝试更改IIS中应用程序池的超时会话.我正在从Windows 7开始,大部分教程都是针对旧版本的Windows,但我相信我找到了正确的位置,但我仍然无法发现我所做的更改有所不同.
tl; dr - 有没有办法找到经典ASP会话剩余多少时间?
所以我正在阅读我在/ r/netsec上找到的一篇简洁的文章:
https://paragonie.com/blog/2015/05/using-encryption-and-authentication-correctly
真正让我陷入循环的一件事是,人们可以在加密的cookie中翻转一下,实际上对所包含的数据进行了有意义的改变.
确保所有流量都通过SSL很容易(这不是关于安全传输的问题),但这让我真正考虑了消息的完整性以及如何查看原始cookie是否被篡改.通常,我只会在cookie中存储经过身份验证的用户ID,并处理防火墙后面的所有其他内容.如果我可以篡改该cookie以从客户端更改用户ID,该怎么办?上述文章表明这是可能的,并且提供了使用优选的libsodium来解决该问题的建议.我知道这个库(我自己没有使用它),但是我认为需要ASP内置安全机制以外的东西,这让我进一步深入兔子洞.
特别是关于内置ASP安全性,我是否需要做一些尚未以标准方式处理cookie安全性的特殊方法(让OWIN做其事或使用FormsAuthentication.Encrypt)?如果没有,如何在引擎盖下处理消息完整性?
进一步阅读让我参与了这个代码项目的HttpSecureCookie课程:http: //www.codeproject.com/Articles/13665/HttpSecureCookie-A-Way-to-Encrypt-Cookies-with-ASP
以上表示使用机器密钥进行cookie防篡改,但我不清楚它是如何使其防篡改.这将如何防止恶意用户将原始文章中指示的位翻转到加密的cookie?