Is it possible to steal a cookie and
authenticate as an administrator?

是的，有可能，如果表单认证cookie没有加密，有人可以破解他们的cookie给他们提高的权限，或者如果不需要SSL，复制别人的cookie。但是，您可以采取措施减轻这些风险：

在system.web / authentication / forms元素上：

> requireSSL = true。这要求cookie只通过SSL传输
> slidingExpiration = false。为true时，可以重新激活过期的凭单。
> cookieless = false。不要在您试图强制执行安全性的环境中使用无Cookie会话。
> enableCrossAppRedirects = false。如果为false，则不允许跨应用处理Cookie。
> protection = all。使用machine.config或web.config中指定的计算机密钥加密和散列Forms Auth cookie。此功能可阻止某人窃取自己的Cookie，因为此设置会告知系统生成Cookie的签名，并在每个身份验证请求中将签名与传递的Cookie进行比较。

如果你想要，你可以通过在Session中添加一些认证信息来添加一点保护，比如用户的用户名哈希(用纯文本的用户名和他们的密码)。这需要攻击者窃取会话cookie和Forms Auth cookie。