השתמש באימות מבוסס טפסים כדי לנהל את רישום מחשב הלקוח והאימות ברמת היישום, במקום להסתמך על מנגנוני אימות שסופקו על-ידי מערכת ההפעלה.

חשוב

מאחר שאימות מבוסס טפסים שולח את שם המשתמש והסיסמה לשרת כטקסט רגיל, עליך להשתמש בהצפנת Secure Sockets Layer (SSL)‎ עבור דף הכניסה ועבור כל הדפים האחרים ביישום פרט לדף הבית.

רשימת רכיבי ממשק משתמש

שם רכיבתיאור

כתובת URL לכניסה

ציון כתובת ה- URL שאליה הבקשה מנותבת מחדש עבור כניסה אם לא נמצא קובץ cookie חוקי של אימות. ערך ברירת המחדל הוא login.aspx.

זמן קצוב של קובץ cookie המשמש לאימות (בדקות)

ציון פרק הזמן, בדקות שלמות, שאחריו פג התוקף של קובץ ה- cookie. ערך ברירת המחדל הוא 30. אם התכונה SlidingExpiration מוגדרת כ- true, התכונה time-out היא ערך גלישה, שתוקפה פג לאחר מספר הדקות שצוין לאחר שהבקשה האחרונה התקבלה. כדי למנוע פגיעה בביצועים, וכדי למנוע אזהרות דפדפן מרובות עבור משתמשים שהפעילו אזהרות קבצי cookie, קובץ ה- cookie מתעדכן לאחר שיותר ממחצית מפרק הזמן חלפה.

מצב

קביעה היכן יש לאחסן את הכרטיס לאימות מבוסס טפסים. האפשרויות הן:

  • אל תשתמש בקבצי cookie - לא נעשה שימוש בקבצי cookie.

  • השתמש בקבצי cookie - תמיד נעשה שימוש בקבצי cookie, ללא תלות בהתקן.

  • זיהוי אוטומטי - קבצי cookie נמצאים בשימוש כאשר פרופיל ההתקן תומך בקבצי cookie. אחרת, לא נעשה שימוש בקבצי cookie עבור דפדפנים שולחניים, שידוע כי הם תומכים בקבצי cookie‏, ASP.NET מבצע בדיקה כדי לקבוע אם קבצי cookie מופעלים.

  • השתמש בפרופיל התקן - קבצי cookie נמצאים בשימוש כאשר פרופיל ההתקן תומך בקבצי cookie. אחרת, לא נעשה שימוש בקבצי cookie ASP.NET לא מבצע בדיקה כדי לקבוע אם קבצי cookie מופעלים בהתקנים שתומכים בקבצי cookie. זו הגדרת ברירת המחדל.

שם

הגדרת השם של קובץ ה- cookie של אימות מבוסס טפסים. ברירת המחדל היא ‎.ASPXAUTH.

מצב הגנה

קביעת סוג ההצפנה, אם בכלל, לשימוש עבור קבצי cookie. האפשרויות הן:

  • הצפנה ואימות - קביעה כי הן אימות נתונים והן הצפנה משמשים לצורך הגנה על קובץ ה- cookie. אפשרות זו משתמשת באלגוריתם אימות הנתונים שהוגדר (בהתבסס על הרכיב <machineKey>). Triple-DES (3DES) משמש להצפנה, אם הוא זמין ואם המפתח מספיק ארוך (48 בתים או יותר). הצפנה ואימות הוא ערך ברירת המחדל המומלץ.

  • ללא - קביעה כי הן הצפנה והן אימות מושבתים עבור אתרים המשתמשים בקבצי cookie לצורך התאמה אישית בלבד, ומציגים דרישות אבטחה נמוכות יותר. Microsoft לא ממליצה להשתמש בהגדרה זו; עם זאת זוהי הדרך שצורכת הכי פחות משאבים כדי להפעיל התאמה אישית באמצעות .NET Framework.

  • הצפנה - קביעה כי קובץ ה- cookie מוצפן באמצעות Triple-DES או DES, אך אימות נתונים לא מתבצע בקובץ ה- cookie. קבצי cookie שבהם משתמשים בדרך זו עלולים להיחשף לתקיפות טקסט רגיל.

  • אימות - קביעה כי סכימת אימות המוודאת את התוכן של קובץ cookie מוצפן לא השתנתה במעבר. קובץ ה- cookie נוצר באמצעות אימות קבצי cookie על-ידי שרשור מפתח אימות עם נתוני קובץ ה- cookie, חישוב קוד אימות ההודעה (MAC) וצירוף ה- MAC לקובץ ה- cookie היוצא.

דרוש SSL

קביעה אם חיבור SSL דרוש כדי לשדר את קובץ ה- cookie של האימות. אפשרות זו מושבתת כברירת מחדל.

הרחב את זמן התפוגה של קובץ cookie עבור כל בקשה

קביעה אם תפוגה גולשת מופעלת. תפוגה גולשת מאפסת את פרק הזמן של קובץ cookie פעיל המשמש לאימות, כך שיפוג לאחר כל בקשה במהלך הפעלה יחידה. אפשרות זו מופעלת כברירת מחדל.

למידע נוסף


תוכן העניינים