FormsAuthentication einfach zu umgehen?

Question

Hallo,

ich verwende Formsauthentication, aber entweder ich mache etwas falsch oder die Formsauthentication ist total sinnlos.

Grundsätzlich funktioniert alles wie es soll, aber wenn ich mich auf der Webseite einlogge kann ich mir mittels Firefox das verschlüsselte Authentication-Cookie angucken und in die Zwischenablage kopieren.

Anschließend habe ich mich von der Seite ausgeloggt, Firefox neugestartet und mir mit einem FF Addon ein Cookie erstellt und als Wert den zuvor kopierten Inhalt eingetragen. Das hatte zum Ergebniss, dass ich vollen Zugriff auf die Seite hatte. Funktioniert auch, wenn ich mich auf einem anderen Rechner mit dem so kopierten Cookie anmelde.

Ich dachte eigentlich, dass Asp.net auf dem Server noch irgendwelche Logik ausführt (Abgleich der Client-IPs o.ä.).

Hier der entsprechende Ausschnitt aus meine Web.config:

 

<authentication mode="Forms">
      <forms name="AUTHNAME" loginUrl="~\Home\Login.aspx" protection="All" timeout="1">
      </forms>
    </authentication>

Folgenden Code verwende ich im Login-Button:

bool isAuthenticated = this.IsAuthenticated(user, password);

      if (isAuthenticated)
      {
        FormsAuthentication.Initialize();

        FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(
        1, user, DateTime.Now, DateTime.Now.AddMinutes(10), false, GetRoles(user),FormsAuthentication.FormsCookiePath);

        string hash = FormsAuthentication.Encrypt(ticket);
        HttpCookie cookie = new HttpCookie(
        FormsAuthentication.FormsCookieName, hash);
        context.Response.Cookies.Add(cookie);

        context.Response.Redirect(@"~\Default.aspx");
      }

Wie kann ich das ganze absichern?