Безопасные файлы cookie сеанса в ASP.NET через HTTPS
Вопрос
после прочтения мне стало немного любопытно этот /.статья за захват файлов cookie HTTPS.Я немного отследил это и наткнулся на хороший ресурс, в котором перечислены несколько способов защиты файлов cookie. здесь.Должен ли я использоватьadsutil, или установка requireSSL в разделе httpCookies файла web.config будет охватывать файлы cookie сеанса в дополнение ко всем остальным (описано здесь)?Есть ли что-нибудь еще, что мне следует рассмотреть для дальнейшего ужесточения сеансов?
Решение
https://www.isecpartners.com/media/12009/web-session-management.pdf
19-страничный технический документ «Безопасное управление сеансами с помощью файлов cookie для веб-приложений».
Они охватывают множество вопросов безопасности, которые я раньше не видел в одном месте.Это стоит прочитать.
Другие советы
Параметр web.config для управления этим находится внутри элемента System.Web и выглядит следующим образом:
<httpCookies httpOnlyCookies="true" requireSSL="true" />