Cookies de sessão segura em ASP.NET sobre HTTPS

StackOverflow https://stackoverflow.com/questions/54096

Pergunta

Fiquei um pouco curioso depois de ler esse /.artigo sobre o sequestro de cookies HTTPS.Eu rastreei um pouco e encontrei um bom recurso que lista algumas maneiras de proteger cookies aqui.Devo usar adsutil ou a configuração requireSSL na seção httpCookies do web.config cobrirá cookies de sessão, além de todos os outros (coberto aqui)?Há mais alguma coisa que eu deveria considerar para fortalecer ainda mais as sessões?

Foi útil?

Solução

https://www.isecpartners.com/media/12009/web-session-management.pdf

Um white paper de 19 páginas sobre "Gerenciamento seguro de sessões com cookies para aplicativos da Web"

Eles cobrem muitos problemas de segurança que eu não tinha visto antes.Vale a pena ler.

Outras dicas

A configuração web.config para controlar isso fica dentro do elemento System.Web e se parece com:

<httpCookies httpOnlyCookies="true" requireSSL="true" />
Licenciado em: CC-BY-SA com atribuição
Não afiliado a StackOverflow
scroll top