14
Me puse un poco curioso después de leer this /. article sobre el secuestro de cookies HTTPS. Lo rastreé un poco, y un buen recurso que encontré enumera algunas formas de proteger las cookies here. ¿Debo usar adsutil o estableceré requireSSL en la sección httpCookies de las cookies de la sesión de cobertura de web.config además de todas las demás (covered here)? ¿Hay algo más que debería considerar para endurecer aún más las sesiones?Cookies de sesión seguras en ASP.NET a través de HTTPS
buena lectura. Una cosa a tener en cuenta es que su resumen de cómo configurar dominios de cookies no es exacto para la mayoría de las implementaciones de los navegadores. El RFC especifica que las cookies con el dominio ".example.com" se deben retransmitir para solicitudes de example.com o cualquier subdominio de example.com. Mientras que los dominios en blanco (que se convierten en "example.com") solo se retransmitirán al dominio example.com. En la práctica, los navegadores retransmitirán las cookies de un dominio a todos los dominios secundarios independientemente del período principal. En la práctica, dejar el dominio en blanco no ofrece ninguna ventaja de seguridad. –
El enlace se ha movido a https://www.isecpartners.com/media/12009/web-session-management.pdf –
Cambió el enlace. ¡Gracias por la actualización! –