Jeff Prosise session hijack blog - des mises à jour?

Question

Je cherche à empêcher le piratage de session dans mon application ASP.NET et suis tombé sur ce great post par Jeff Prosise. Cependant, c'est à partir de 2004 et je me demandais s'il y avait eu des mises à jour qui soit font la même chose, ou entraînent des complications? En outre, quelqu'un a-t-il utilisé ceci sur un serveur de production et, si oui, y a-t-il eu des problèmes causés par ceci? Le seul problème qui pourrait affecter mes applications est si le réseau IP de quelqu'un change dans un court laps de temps, mais je ne peux pas imaginer que cela soit très probable.

Merci

Answer 1

C'est une approche intéressante pour le durcissement de la session, mais il ne s'arrête pas le détournement de session. Ce système a le même problème que HTTPOnly Cookies qui est qu'un attaquant peut créer des requêtes à partir du navigateur de la victime en utilisant xss et que l'attaquant n'a pas besoin de connaître la valeur de l'identifiant de session.

Cette citation est tirée de l'article que vous avez lié à:

SecureSessionModule soulève la barre pour les pirates qui détournent des sessions en utilisant des identifiants de session volés

Cela soulève la barre, mais vous avez encore besoin corrigez vos vulnérabilités XSS et CSRF.

Answer 2

Ceci est mort depuis longtemps mais j'ai remarqué un problème avec cela qui pourrait commencer à affecter de plus en plus de serveurs dans les années à venir. Une partie de la MAC générée utilise l'adresse IP, se scindant sur le ".", Mais les adresses IPv6 utilisent ":". Je n'ai pas de serveur de production sur IPv6 mais j'ai récemment mis à jour ma machine de développement qui se connecte à Cassini via IPv6 et j'entre très rapidement dans une chaîne non-stop d'erreurs de session.