¿Las versiones recientes de ASP.NET implementan el cifrado autenticado adecuado?

4

Se ha descubierto antes que ASP.Net no utiliza el derecho de cifrado autenticado (por ejemplo, aquí ), utilizaron Mac-luego-cifrar que condujeron a algunos ataques prácticos. Así que me pregunto si uso FormsAuthentication.Encrypt() ahora (con los últimos parches para asp.net 4), ¿usará el cifrado apropiado de MAC?

    
pregunta Ilya Chernomordik 03.02.2016 - 13:54
fuente

1 respuesta

2

FormsAuthentication.Encrypt() ahora usa el patrón de cifrado de MAC sobre la IV y el texto cifrado, así que sí, ahora se hace correctamente.

Como nota al margen, depende del elemento machinekey para determinar qué algoritmos de encriptación y MAC se utilizan, vale la pena volver a verificar su configuración para asegurarse de que está configurado para usar AES o Auto (que se resuelve en AES) y no DES (débil) o TripleDES (lento).

    
respondido por el Xander 04.02.2016 - 15:47
fuente

Lea otras preguntas en las etiquetas