Sécuriser les cookies de session ASP.NET sur HTTPS
Question
Je me suis un peu curieux après la lecture ce /.l'article sur le détournement de HTTPS cookies.J'ai suivi un peu, et une bonne ressource, je suis tombé sur des listes de quelques façons d'obtenir des cookies ici.Dois-je utiliser adsutil, ou la mise en requireSSL dans le httpCookies section de web.config couvrir les cookies de session en plus de tous les autres (couvert ici)?Est-il autre chose que je devrais envisager de durcir les séances de plus?
La solution
https://www.isecpartners.com/media/12009/web-session-management.pdf
19 page livre blanc sur la "Sécurisation de la Gestion de Session avec les Cookies pour les Applications Web"
Ils couvrent beaucoup de problèmes de sécurité que je n'ai pas vu en un seul endroit avant.Il vaut la peine de lire.
Autres conseils
Le web.paramètre de configuration pour contrôler ce qui va à l'intérieur du Système.Web élément et ressemble à ceci:
<httpCookies httpOnlyCookies="true" requireSSL="true" />