Cookies de sesión seguras en ASP.NET a través de HTTPS
Pregunta
Me dio un poco de curiosidad después de leer. este /.artículo sobre el secuestro de cookies HTTPS.Lo rastreé un poco y un buen recurso con el que me topé enumera algunas formas de proteger las cookies. aquí.¿Debo usar adsutil o configuraré requireSSL en la sección httpCookies de web.config para cubrir las cookies de sesión además de todas las demás (cubierto aquí)?¿Hay algo más que debería considerar para endurecer aún más las sesiones?
Solución
https://www.isecpartners.com/media/12009/web-session-management.pdf
Un documento técnico de 19 páginas sobre "Gestión segura de sesiones con cookies para aplicaciones web"
Cubren muchos problemas de seguridad que no había visto antes en un solo lugar.Vale la pena leerlo.
Otros consejos
La configuración web.config para controlar esto va dentro del elemento System.Web y se ve así:
<httpCookies httpOnlyCookies="true" requireSSL="true" />