Asp.net mvc HTTP上的所有内容一旦通过身份验证2-安全吗?
我在MVC应用程序中使用OWIN Identity 2来执行身份验证。这是通过HTTPS执行的 我的问题是,一旦用户成功地进行了身份验证,是否有任何理由将它们保留在HTTPS上,或者从安全的角度来看,如果没有更多的敏感细节被传输,将它们放回HTTP是否可以Asp.net mvc HTTP上的所有内容一旦通过身份验证2-安全吗?,asp.net-mvc,security,asp.net-identity,Asp.net Mvc,Security,Asp.net Identity,我在MVC应用程序中使用OWIN Identity 2来执行身份验证。这是通过HTTPS执行的 我的问题是,一旦用户成功地进行了身份验证,是否有任何理由将它们保留在HTTPS上,或者从安全的角度来看,如果没有更多的敏感细节被传输,将它们放回HTTP是否可以 在使用Identity 2时,我不确定每个请求在客户端和服务器之间传输的确切内容,因此希望首先检查此处。如果您传输请求中的任何敏感内容,则应使用HTTPS(传输层安全) 来自标识2的身份验证cookie被视为敏感信息 更不用说,当您不使用HT
在使用Identity 2时,我不确定每个请求在客户端和服务器之间传输的确切内容,因此希望首先检查此处。如果您传输请求中的任何敏感内容,则应使用HTTPS(传输层安全) 来自标识2的身份验证cookie被视为敏感信息 更不用说,当您不使用HTTPS时,您的网站将面临被动和主动流量嗅探以及中间人攻击 我建议您查看并熟悉OWASP前10名: 这是一个专注于提高软件安全性的非盈利组织
如果您想了解更多信息,我强烈建议您在上学习一些课程。有什么好的理由不将它们保留在https上吗?很好。我认为这都是网站的额外开销。@LaurenceFrost额外开销是个神话。现代硬件甚至不会考虑SSL。我建议在任何情况下都保持所有流量HTTPS。这里有一篇关于SSL“开销”的文章@trailmax是一篇很棒的文章。非常感谢你的链接。谢谢你-在实施任何事情之前,为今晚做一些睡前阅读。我明天回来报告。。。