asp.net – 实现安全的“记住我”的最佳实践

阅读A3：OWASP top 10 for 2010中的“断开的身份验证和会话管理”。本节中的一个重点是必须在整个会话中使用https。如果会议持续很长时间，那么这更重要。

还要记住，“记住我”创建了一个大窗口，攻击者可以在该窗口中“骑”在会话上。这给攻击者一个很长的时间(几个月)，他可以在其中发送一个CSRF攻击。即使您有CSRF保护，攻击者仍然可以搭乘XSS和XmlHttpRequest进行会话(HttpOnlyCookie将防止完全劫持)。 “记住我”使其他威胁像xss，csrf，嗅到更严重。只要这些漏洞得到解决，那么你不应该有真实世界的黑客的问题。

实现“记住我”功能的最简单(和安全的)方法是修改会话超时您的web.config文件：

<configuration>
        <system.web>
            <sessionState timeout="60"/>
            </sessionState>
        </system.web>
   </configuration>

将超时设置为高位，也许一个月左右。如果“记住我”复选框未选中，则存储更正常超时的会话变量(如24小时)。在每个请求的头文件中检查此会话变量。如果选中该复选框，则正常运行，并让asp.net照顾它。

如果会议没有到期，那么暴力就会更容易。这些值很大，但允许黑客花费数年时间来猜测会话ID是一个漏洞。