Cookies de sessão segura em ASP.NET sobre HTTPS
Pergunta
Fiquei um pouco curioso depois de ler esse /.artigo sobre o sequestro de cookies HTTPS.Eu rastreei um pouco e encontrei um bom recurso que lista algumas maneiras de proteger cookies aqui.Devo usar adsutil ou a configuração requireSSL na seção httpCookies do web.config cobrirá cookies de sessão, além de todos os outros (coberto aqui)?Há mais alguma coisa que eu deveria considerar para fortalecer ainda mais as sessões?
Solução
https://www.isecpartners.com/media/12009/web-session-management.pdf
Um white paper de 19 páginas sobre "Gerenciamento seguro de sessões com cookies para aplicativos da Web"
Eles cobrem muitos problemas de segurança que eu não tinha visto antes.Vale a pena ler.
Outras dicas
A configuração web.config para controlar isso fica dentro do elemento System.Web e se parece com:
<httpCookies httpOnlyCookies="true" requireSSL="true" />