Zaskoczyło mnie po przeczytaniu this /. article przejmowania plików cookie HTTPS. Trochę go śledziłem, a dobry zasób natknąłem się na listę kilku sposobów zabezpieczenia plików cookie: here. Czy muszę używać adsutil, czy ustawię requireSSL w sekcji httpCookies plików cookie sesji sieci web.config oprócz wszystkich innych (covered here)? Czy jest jeszcze coś, co powinienem rozważyć, aby jeszcze bardziej wzmocnić seanse?Bezpieczne ciasteczka sesyjne w ASP.NET przez HTTPS
14
A
Odpowiedz
10
https://www.isecpartners.com/media/12009/web-session-management.pdf
A 19 strona biały papier na „Bezpieczne zarządzanie sesję z Cookies for Web Applications”
Obejmują one wiele kwestii bezpieczeństwa, że nie widzieli wszystko w jednym miejscu przed. Warto przeczytać.
12
web.config ustawienie kontrolować to idzie wewnątrz elementu system.Web i wygląda następująco:
<httpCookies httpOnlyCookies="true" requireSSL="true" />
+0
Dostałem się tutaj od Google i początkowo nie było jasne, jaka jest odpowiedź, więc dodałem to dla następnego faceta. –
Powiązane problemy
- 1. Szyny 3: Wyłącz ciasteczka sesyjne
- 2. Ciasteczka sesyjne nie działające w Electron
- 3. Ciasteczka sesyjne z Cordova nie działają na Androidzie Lollipop
- 4. JavaScript i jQuery nie są bezpieczne przez https
- 5. asp.net outputcache i ciasteczka
- 6. Jak bezpieczne jest wysyłanie poufnych danych przez https?
- 7. Jak testować przez RSpec że zmienne sesyjne aktualizowane w kontrolerze
- 8. słabnącym ciasteczka jako „bezpieczne” w formach auth gdy strona jest za równoważenia obciążenia obsługującego cert TLS
- 9. ASP.NET MVC - jak przekierować bezpieczne?
- 10. GAE dev_appserver.py przez HTTPS
- 11. Google Captcha nie wyświetlając w GoDaddy bezpieczne (https)
- 12. Jak mogę zaimplementować połączenie Https/SSL w Asp.Net Web API?
- 13. Czy https bezpieczne pliki cookie zapobiegają atakom XSS?
- 14. ASP.net debugowanie https na localhost
- 15. Axios: https żądanie przez pełnomocnika
- 16. Aktualizacja Git Submodule przez https
- 17. HTTPS-> HTTP przez Fiddlera
- 18. ASP.NET MVC Jak bezpieczne są zmienne statyczne?
- 19. Bezpieczne szyfrowanie https dla aplikacji na iPhone do strony internetowej:
- 20. ASP.net MVC AntiForgeryToken przez AJAX
- 21. C#/ASP.NET: nie można usunąć ciasteczka z własności domeny określonej
- 22. ciasteczka localhost nie ustawione
- 23. sessionid vs ciasteczka
- 24. ASP.NET: najlepsza praktyka przekierowywania na https
- 25. Ciasteczka Tomcat nie działają przez mój ProxyPass VirtualHost
- 26. stron internetowych na ciasteczka nie są wykrywane przez UIWebView
- 27. . Żądania https https w różnych protokołach bezpieczeństwa w wątkach
- 28. Zezwalanie na ładowanie zasobów HTTP przez HTTPS
- 29. DjangoCMS: wyłącz logowanie przez http, wymusza https
- 30. Socket.IO nie może się połączyć przez https
warto przeczytać. Jedna rzecz do zapamiętania, ich podsumowanie, jak ustawić domeny cookie nie jest dokładne dla większości implementacji przeglądarki. RFC określa, że pliki cookie z domeną ".example.com" powinny być retransmitowane dla żądań dla domeny example.com lub dowolnej poddomeny domeny example.com. Natomiast puste domeny (które zostaną przekształcone w "example.com") będą retransmitowane tylko w domenie example.com. W praktyce przeglądarki będą retransmitować pliki cookie z domeny do wszystkich domen podrzędnych niezależnie od okresu początkowego. W praktyce opuszczenie domeny nie daje żadnej korzyści w zakresie bezpieczeństwa. –
Link został przeniesiony do https://www.isecpartners.com/media/12009/web-session-management.pdf –
Zmieniono link - dzięki za aktualizację! –