На всякий случай напишу и здесь, вдруг кто еще не знает. Просьба к сообществу не переносить тему, а то на форуме ASP.Net мало не увидит.
В общем, путем модификации зашифрованных кукисов/поля ViewState и наблюдения за ошибкой сервера, пытающегося их расшифровать, удается вычислить мастер-ключ машины. В свою очередь знание мастер-ключа позволяет подменять кукисы + начиная с .Net 3.5 даже украсть Web.config-файл.
Ссылка на русский перевод (там же есть источник):
http://habrahabr.ru/blogs/net/104511/
Я, кстати, давно догадывался об этой заразе и никогда ничего важного не шифровал мастер-ключом. А вот про Web.config впервые слышу. Даже сейчас не представляю как знание мастер-ключа помогает украсть Web.config. Ваши соображения?
20.09.10 12:56: Перенесено из '.NET'