Безопасные файлы cookie сеанса в ASP.NET через HTTPS
Мне стало немного любопытно после того, как я прочитал это /. статья по поводу перехвата файлов cookie HTTPS. Я немного отследил это, и на хорошем ресурсе, на который я наткнулся, перечислены несколько способов защиты файлов cookie здесь. Должен ли я использовать adsutil, или установка requireSSL в разделе httpCookies файла web.config будет охватывать файлы cookie сеанса в дополнение ко всем остальным (покрыто здесь)? Есть ли что-нибудь еще, что я должен рассмотреть, чтобы еще больше укрепить сессию?
Ответы 2
https://www.isecpartners.com/media/12009/web-session-management.pdf
Технический документ на 19 страницах "Безопасное управление сеансами с помощью файлов cookie для веб-приложений"
Они охватывают множество проблем безопасности, которые я раньше не видел в одном месте. Стоит прочитать.
Ссылка переехала на isecpartners.com/media/12009/web-session-management.pdf
Настройка web.config для управления этим находится внутри элемента System.Web и выглядит так:
<httpCookies httpOnlyCookies = "true" requireSSL = "true" />
Я пришел сюда из Google, и сначала было непонятно, каков был ответ, поэтому я добавил это для следующего парня.
Хорошо для чтения. Следует отметить, что их краткое изложение того, как установить домены cookie, неточно для большинства реализаций браузеров. RFC указывает, что файлы cookie с доменом ".example.com" должны повторно передаваться для запросов для example.com или любого поддомена example.com. В то время как пустые домены (которые превращаются в example.com) будут повторно передаваться только в домен example.com. На практике браузеры будут повторно передавать файлы cookie из домена во все дочерние домены независимо от начального периода. Таким образом, на практике оставление домена пустым не дает никаких преимуществ в плане безопасности.