14
Zaskoczyło mnie po przeczytaniu this /. article przejmowania plików cookie HTTPS. Trochę go śledziłem, a dobry zasób natknąłem się na listę kilku sposobów zabezpieczenia plików cookie: here. Czy muszę używać adsutil, czy ustawię requireSSL w sekcji httpCookies plików cookie sesji sieci web.config oprócz wszystkich innych (covered here)? Czy jest jeszcze coś, co powinienem rozważyć, aby jeszcze bardziej wzmocnić seanse?Bezpieczne ciasteczka sesyjne w ASP.NET przez HTTPS
warto przeczytać. Jedna rzecz do zapamiętania, ich podsumowanie, jak ustawić domeny cookie nie jest dokładne dla większości implementacji przeglądarki. RFC określa, że pliki cookie z domeną ".example.com" powinny być retransmitowane dla żądań dla domeny example.com lub dowolnej poddomeny domeny example.com. Natomiast puste domeny (które zostaną przekształcone w "example.com") będą retransmitowane tylko w domenie example.com. W praktyce przeglądarki będą retransmitować pliki cookie z domeny do wszystkich domen podrzędnych niezależnie od okresu początkowego. W praktyce opuszczenie domeny nie daje żadnej korzyści w zakresie bezpieczeństwa. –
Link został przeniesiony do https://www.isecpartners.com/media/12009/web-session-management.pdf –
Zmieniono link - dzięki za aktualizację! –