HTTPS 経由の ASP.NET でのセキュア セッション Cookie
https://stackoverflow.com/questions/54096
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian質問
読んだらちょっと興味が湧いてきました これ /。記事 HTTPS Cookie のハイジャックの問題。少し追跡してみたところ、Cookie を保護するためのいくつかの方法がリストされている優れたリソースを見つけました。 ここ. 。adsutil を使用する必要がありますか、それとも web.config の httpCookies セクションで requireSSL を設定することで、他のすべての Cookie に加えてセッション Cookie もカバーされます (ここでカバーされています)?セッションをさらに強化するために考慮すべきことはありますか?
解決
https://www.isecpartners.com/media/12009/web-session-management.pdf
「Web アプリケーションの Cookie を使用した安全なセッション管理」に関する 19 ページのホワイト ペーパー
これらは、これまで一度にまとめて見たことがなかった多くのセキュリティ問題をカバーしています。一読の価値があります。
他のヒント
これを制御する web.config 設定は System.Web 要素内にあり、次のようになります。
<httpCookies httpOnlyCookies="true" requireSSL="true" />
所属していません StackOverflow
