14
Tôi có một chút tò mò sau khi đọc this /. article về việc cướp cookie HTTPS. Tôi theo dõi nó xuống một chút, và một nguồn tài nguyên tốt tôi stumbled trên danh sách một vài cách để bảo mật cookie here. Tôi có phải sử dụng adsutil hay không, hoặc sẽ đặt requireSSL trong phần httpCookies của cookie phiên web.config bao gồm các phiên bản khác (covered here)? Có điều gì khác tôi nên cân nhắc để tăng cường các phiên tiếp theo không?Cookie phiên bảo mật trong ASP.NET qua HTTPS
Tốt đọc. Một điều cần lưu ý, tóm tắt của họ về cách thiết lập tên miền cookie là không chính xác đối với hầu hết các triển khai trình duyệt. RFC chỉ định rằng các cookie có tên miền ".example.com" phải được truyền lại cho các yêu cầu cho example.com hoặc bất kỳ tên miền phụ nào của example.com. Trong khi các miền trống (được chuyển thành "example.com") sẽ chỉ được truyền lại tới miền example.com. Trong thực tế, trình duyệt sẽ truyền lại cookie từ miền tới tất cả các miền con bất kể giai đoạn hàng đầu. Vì vậy, trong thực tế, để trống miền không cung cấp lợi thế bảo mật. –
Liên kết đã chuyển đến https://www.isecpartners.com/media/12009/web-session-management.pdf –
Đã thay đổi liên kết - cảm ơn bạn đã cập nhật! –