14
Ich habe ein wenig neugierig nach dem Lesen this /. article über Hijacking HTTPS-Cookies. Ich habe es ein wenig aufgespürt, und eine gute Ressource, über die ich gestolpert bin, listet einige Möglichkeiten auf, Cookies zu sichern here. Muss ich adsutil verwenden, oder setzt die Einstellung requireSSL im Abschnitt httpCookies von web.config die Abdeckung von Sitzungscookies zusätzlich zu allen anderen (covered here)? Gibt es noch etwas, das ich in Betracht ziehen sollte, um die Sitzungen weiter zu verhärten?Sichere Session-Cookies in ASP.NET über HTTPS
Gut zu lesen. Eine Sache, die zu beachten ist, ist ihre Zusammenfassung des Einrichtens von Cookie-Domänen für die meisten Browser-Implementierungen nicht genau. Der RFC gibt an, dass Cookies mit der Domain ".example.com" für Anfragen für example.com oder eine Subdomain von example.com erneut übertragen werden sollen. Während leere Domains (die in "example.com" umgewandelt werden) nur an die example.com Domain zurück übertragen werden. In der Praxis werden Browser Cookies von einer Domain an alle untergeordneten Domains übertragen, unabhängig vom führenden Zeitraum. In der Praxis bietet das Verlassen der Domain also keinen Sicherheitsvorteil. –
Link ist umgezogen zu https://www.isecpartners.com/media/12009/web-session-management.pdf –
Geändert der Link - danke für das Update! –