ASP.NET状态服务器安全性_Asp.net_Security_Session_Session State

ASP.NET状态服务器安全性

asp.net security session

ASP.NET状态服务器安全性,asp.net,security,session,session-state,Asp.net,Security,Session,Session State,在我的网站和状态服务器之间使用状态服务器通信时未加密，这是否正确？如果不是，我如何保护它（SSL）？ASP.NET会话状态服务器以类似rest的方式使用明文http请求进行通信。实际协议规范可在上公开获取我从未听说过有人对州流量进行加密，找不到任何引用，也没有任何东西表明这是可能的。我们中的任何人都无法确定您的网站和州服务器之间的流量是否加密在高层，stateserver使用明文传输数据。但这并不一定意味着它没有加密但是，根据网络的设置方式，操作系统可能会在较低的一层对其进行加密。也就是说

在我的网站和状态服务器之间使用状态服务器通信时未加密，这是否正确？如果不是，我如何保护它（SSL）？

ASP.NET会话状态服务器以类似rest的方式使用明文http请求进行通信。实际协议规范可在上公开获取

我从未听说过有人对州流量进行加密，找不到任何引用，也没有任何东西表明这是可能的。

我们中的任何人都无法确定您的网站和州服务器之间的流量是否加密

在高层，stateserver使用明文传输数据。但这并不一定意味着它没有加密

但是，根据网络的设置方式，操作系统可能会在较低的一层对其进行加密。也就是说，如果计算机是域的一部分，网络管理员可能已启用适当的设置以强制在计算机之间进行kerberos加密

此外，如果您在将数据放入“会话”之前对其进行加密，那么它显然会被加密

如果您担心内部威胁，那么您的网络应该配置为加密机器之间的所有通信。（如果您想知道如何操作，请访问serverfault.com）。

状态服务器应该位于防火墙后面，而不是公共服务器，没有理由加密流量。您只需要确保流量只能通过网络分层从web层进出状态服务器

如果您提到IPsec，我会得到您的答案，但是Kerberos不是用于身份验证的，并且不会影响实际通信吗？假设防火墙后面的任何东西本质上是安全的是不安全的。如果像在攻击中多次那样安装了内部嗅探器，该怎么办？只需使用IPSec在您的系统之间保护它。