Когда пользователь входит в систему на основе метода проверки подлинности с помощью форм по умолчанию, сервер создает файл cookie, содержащий зашифрованные данные (используя машинный ключ в качестве ключа для шифрования).
Это означает, что если кто-то найдет/угадает/получит доступ к машинному ключу для сервера, он войдет в веб-приложение.
Я разработал несколько приложений, которые находятся на 4 серверах. Итак, я жестко запрограммировал один и тот же машинный ключ для всех серверов в machine.config и не могу использовать режим автоматической генерации.
- Можно ли взломать машинный ключ?
- Есть ли другие методы? (Я не хочу использовать Windows и Passport)
- И достаточно ли безопасен билет проверки подлинности с помощью форм? (т.е. приемлемо для приложений электронного банкинга)