تأمين ملفات تعريف الارتباط في ASP.NET عبر HTTPS
سؤال
لدي القليل من الغريب بعد القراءة هذا /.المادة على اختطاف HTTPS ملفات تعريف الارتباط.تعقبته قليلا و مورد جيد أنا تعثرت عبر قوائم عدد قليل من الطرق لتأمين الكوكيز هنا.يجب استخدام adsutil ، أو وضع requireSSL في httpCookies قسم من شبكة الإنترنت.التكوين تغطي الدورة الكوكيز بالإضافة إلى جميع الآخرين (تغطية هنا)?هل هناك شيء آخر يجب أن يكون النظر إلى هاردن دورات أخرى ؟
المحلول
https://www.isecpartners.com/media/12009/web-session-management.pdf
19 صفحة ورقة بيضاء على "تأمين دورة إدارة ملفات تعريف الارتباط في تطبيقات الويب"
أنها تغطي الكثير من القضايا الأمنية التي لم أر جميعا في بقعة واحدة من قبل.انها تستحق القراءة.
نصائح أخرى
شبكة الإنترنت.التكوين الإعداد للسيطرة على هذا يذهب داخل النظام.عنصر ويب و تبدو مثل:
<httpCookies httpOnlyCookies="true" requireSSL="true" />
لا تنتمي إلى StackOverflow