Me puse un poco curioso después de leer this /. article sobre el secuestro de cookies HTTPS. Lo rastreé un poco, y un buen recurso que encontré enumera algunas formas de proteger las cookies here. ¿Debo usar adsutil o estableceré requireSSL en la sección httpCookies de las cookies de la sesión de cobertura de web.config además de todas las demás (covered here)? ¿Hay algo más que debería considerar para endurecer aún más las sesiones?Cookies de sesión seguras en ASP.NET a través de HTTPS
14
A
Respuesta
10
https://www.isecpartners.com/media/12009/web-session-management.pdf
Un 19 página de papel blanco sobre "Secure administración de sesiones con cookies para aplicaciones Web"
Cubren una gran cantidad de problemas de seguridad que no he visto en un sólo lugar antes. Vale la pena leerlo.
12
El ajuste para controlar esto va en el interior del elemento System.Web y se ve como web.config:
<httpCookies httpOnlyCookies="true" requireSSL="true" />
+0
Llegué aquí de Google y al principio no estaba claro cuál era la respuesta, así que agregué esto para el siguiente tipo. –
Cuestiones relacionadas
- 1. Persistencia de sesión SSL y cookies seguras
- 2. ¿Las cookies seguras de https previenen ataques XSS?
- 3. HTTP Cookies y solicitudes de AJAX a través de HTTPS
- 4. Ayuda de la sesión CodeIgniter, ¿las cookies no son seguras?
- 5. Google App Engine - Cookies seguras
- 6. ¿Cookies de sesión = cookies?
- 7. cómo puedo compartir una sesión asp.net entre http y https
- 8. Sirviendo páginas de Django seguras con HTTPS
- 9. ¿Cómo puedo hacer que las cookies sean seguras (solo https) por defecto en los rieles?
- 10. Cookie a través de HTTP y HTTPS en PHP
- 11. C# mantener la sesión a través de HTTPS en el cliente
- 12. Falsificación de sesión/Cookies?
- 13. Lectura de cookies a través de HTTPS que se establecieron mediante HTTP
- 14. Publicación de anuncios a través de HTTPS
- 15. Creación de cookies a través de jquery
- 16. Cookies de inicio de sesión/sesión, Ajax y seguridad
- 17. Cookies de sesión ASP.NET: especificando el dominio base
- 18. http to https a través de .htaccess
- 19. Jsoup Cookies para HTTPS raspado
- 20. Llamar a HTTPS desde HTTP a través de AJAX para iniciar sesión
- 21. Jetty cookies de sesión segura cuando está detrás del proxy inverso usando HTTP
- 22. Emular ASP.NET autenticación de cookies
- 23. Mantener sesión de cookies en Android
- 24. Sesión de PHP sin cookies
- 25. La descarga de un archivo a través de https en IE8, utilizando ASP.NET
- 26. ¿Debería codificarse el contenido de las cookies al usar https?
- 27. Sesión Scalatra sin cookies
- 28. Node.JS sesión sin cookies
- 29. ¿Utiliza la sesión cookies?
- 30. Iniciando sesión y utilizando cookies en pycurl
buena lectura. Una cosa a tener en cuenta es que su resumen de cómo configurar dominios de cookies no es exacto para la mayoría de las implementaciones de los navegadores. El RFC especifica que las cookies con el dominio ".example.com" se deben retransmitir para solicitudes de example.com o cualquier subdominio de example.com. Mientras que los dominios en blanco (que se convierten en "example.com") solo se retransmitirán al dominio example.com. En la práctica, los navegadores retransmitirán las cookies de un dominio a todos los dominios secundarios independientemente del período principal. En la práctica, dejar el dominio en blanco no ofrece ninguna ventaja de seguridad. –
El enlace se ha movido a https://www.isecpartners.com/media/12009/web-session-management.pdf –
Cambió el enlace. ¡Gracias por la actualización! –