this /. articleをハイジャックするHTTPS Cookieを読んだ後、ちょっと不思議に感じました。私は少しそれを追跡し、私は見つけた良いリソースは、クッキーを確保するいくつかの方法をリストにhere。 adsutilを使用する必要がありますか、web.configのhttpCookiesセクションにrequireSSLを設定すると、他のすべてのセッションクッキーに加えて(covered here)?セッションをさらに強化するために検討すべきことがありますか?HTTPS経由でASP.NETのセッションクッキーを保護
https://www.isecpartners.com/media/12009/web-session-management.pdf
彼らは私が前に一箇所ですべてを見ていないセキュリティ問題の多くをカバーし
の「Webアプリケーションのためのクッキーとセッション管理をセキュア」の19ページのホワイトペーパー。それは読む価値がある。
これを制御するために設定web.configファイルには、System.Webの要素内部に入ると、以下のようになります。
<httpCookies httpOnlyCookies="true" requireSSL="true" />
私はGoogleからここに着いた。最初は答えが何だったのか分かりませんでしたので、次の人にこれを追加しました。 –
良い読み取り。 Cookieドメインを設定する方法の概要は、ほとんどのブラウザの実装では正確ではありません。 RFCでは、ドメイン ".example.com"を持つクッキーをexample.comの要求またはexample.comのサブドメインに対して再送信する必要があることを指定しています。空白のドメイン(「example.com」に変わる)はexample.comドメインにのみ再送信されます。実際には、ブラウザは、先頭の期間に関係なく、ドメインからすべての子ドメインにCookieを再送信します。したがって、実際には、ドメインを空白のままにするとセキュリティ上の利点はありません。 –
リンクがhttps://www.isecpartners.com/media/12009/web-session-management.pdfに移動しました –
リンクが変更されました。 –