14
Je suis devenu un peu curieux après avoir lu this /. article sur le piratage de cookies HTTPS. J'ai suivi un peu, et une bonne ressource que j'ai trébuché sur des listes de quelques façons de sécuriser les cookies here. Dois-je utiliser adsutil ou définir requireSSL dans la section httpCookies des cookies de session de couverture web.config en plus de tous les autres (covered here)? Y a-t-il autre chose que je devrais envisager pour renforcer les séances?Sécuriser les cookies de session dans ASP.NET sur HTTPS
Bonne lecture. Une chose à noter, leur résumé de la façon de définir les domaines de cookies n'est pas précis pour la plupart des implémentations de navigateur. La RFC spécifie que les cookies avec le domaine ".example.com" doivent être retransmis pour les demandes pour example.com ou tout sous-domaine de example.com. Alors que les domaines vides (qui sont convertis en "example.com") seront seulement retransmis au domaine example.com. Dans la pratique, les navigateurs retransmettront les cookies d'un domaine à tous les domaines enfants indépendamment de la période principale. Donc, en pratique, laisser le domaine vide ne présente aucun avantage en termes de sécurité. –
Lien a été transféré à https://www.isecpartners.com/media/12009/web-session-management.pdf –
Modifié le lien - merci pour la mise à jour! –