作者：    来源：    点击：    日期：2007-7-6 0:55:29   

原创 By Fancyf(Fancyray) http://blog.csdn.net/fancyf/
    写完了《ASP.NET Forms Authentication所生成Cookie的安全性》，觉得可以为Forms的安全性松一口气了，结果最初提出问题的贴主又提到了一个问题：MachineKey是怎样实现的？同一台虚拟主机上不同的Web Application所使用的MachineKey是不是一样的？上次没想到这个为题，再做一下试验。
    试验思路：在同一台电脑上新建一个WebApplication，所绑定的域名不一样，也不在同一个应用程序池中。在新建的WebApplication生成一个Cookie，把值拿到原先的WebApplication中看看能否通过验证。
    试验过程：为了绑定不同的域名，在这台电脑上启动了DNS服务，并将网络连接中的DNS服务器指向了这台电脑的IP。根据FormsAuthenticationTicket构造函数的原型：
public FormsAuthenticationTicket(int version, string name, DateTime issueDate, DateTime expiration, bool isPersistent, string userData, string cookiePath)
    以及在GetAuthCookie(...)中的调用方法：
FormsAuthenticationTicket ticket1 = new FormsAuthenticationTicket(1, userName, DateTime.Now, createPersistentCookie ? DateTime.Now.AddYears(50) : DateTime.Now.AddMinutes((double) FormsAuthentication._Timeout), createPersistentCookie, "", strCookiePath);
    决定在测试页面上放两个文本框，一个是用户名txtUsername2，一个是时间txtGenDate（代替DateTime.Now），然后在Generation按钮的Click事件中这样写：
DateTime genDate = DateTime.Parse(this.txtGenDate.Text);
FormsAuthenticationTicket ticket1 = new FormsAuthenticationTicket(1, this.txtUsername2.Text, genDate, genDate.AddYears(50), true, "", "/");
this.lblEncryptedCookie.Text = FormsAuthentication.Encrypt(ticket1);
    运行发现，对相同的用户名和生成时间，FormsAuthentication.Encrypt(ticket1)所得到的结果每次都不一样，但是每个结果都是有效的。
    现在把这个页面拿到新建立的WebApplication中运行，把得到的一组结果放在了原WebApplication的Login.aspx页面上：
<script language=javascript>
 document.cookie="MyLab=5623DE03BE6EE52298F721B181C83F77A97688BB5268602DE80C1A3DB07B7A1FFB828080BD0785B18BB8072996C2E241FD9A54F0ADDD8500C2C510DB54C31A40C8614541A9CF9C1A";
</script>
    在原WebApplication程序中启动一个非登录页面(upload.aspx)，结果正常跳转到了login.aspx页面。此时应该已经执行了上面的js程序，也就是说另一个程序中生成的cookie已经生效了。直接再次输入upload.aspx的URL，结果通过了验证！此时通过ieHttpHeaders可以清楚地看到，浏览器发送的请求中有这个值"MyLab=5623DE03BE6EE52298F721B181C83F77A97688BB5268602DE80C1A3DB07B7A1FFB828080BD0785B18BB8072996C2E241FD9A54F0ADDD8500C2C510DB54C31A40C8614541A9CF9C1A"。

    这说明，MachineKey的确只与Machine有关，而与WebApplication无关。一个Application生成的Cookie也可以通过其他Application的Forms验证！值得担心的事情终于出现了。A和B两个WebApplication在同一台电脑上的两个不同的虚拟主机，A中使用了Forms验证。B只要执行：
DateTime genDate = DateTime.Parse(this.txtGenDate.Text);
FormsAuthenticationTicket ticket1 = new FormsAuthenticationTicket(1, this.txtUsername2.Text, genDate, genDate.AddYears(50), true, "", "/");

首页 上一页 [1] [2]  下一页 尾页