Dicas.NET - ASP.NET : slidingExpiration em forms (mais seguran�a)

ASP.NET : slidingExpiration em forms (mais segurança)

A autenticaç�o dos usu�rios por formsAuthentication no ASP.NET � controlada por um cookie. Esse cookie tem um prazo de validade, uma expiraç�o de 30 minutos por default.

Ocorre que esta forma de expiraç�o � o que chamamos de sliding : Ele expira em 30 minutos sem uso. A cada vez que o usu�rio chamar uma p�gina, ganha mais 30 minutos.

Do ponto de vista da segurança isso n�o � bom, pois fornece a um invasor todo o tempo necess�rio para obter informaç�es que deseja.

Podemos resolver isso com uma configuraç�o simples : No web.config, na configuraç�o de formsAuthentication, podemos utilizar slidingExpirationfiltered=false, fazendo com que os 30 minutos de timeout sejam fixos.

Vejam como fica a configuraç�o :

<configuration>
<system.Web>
<authentication mode="Forms">
<forms slidingExpirationfiltered="false">

Dicas.NET - ASP.NET : slidingExpiration em forms (mais seguran�a)

Veja nesta dica, como fixar um timeout para cookies, em aplicações ASP.NET, melhorando a segurança de seu site.

Artigos relacionados