0
This postは、TLSセッションIDを使用してCookieの盗難を回避する方法を指します。ASP.NETセッション内でTLSセッションIDにアクセスするにはどうすればよいですか? (BEAST Cookieの盗難を避けるため)
ASP.NET内のTLSセッションIDにはどのようにアクセスしますか?
A
答えて
1
これは、コメントのために少し長くなって本当に答えですれました:SSL and Load Balancing
あなたが提供されたリンクに掲載何ニコだけで実行可能ではありません:受け入れ答え、ここでは具体的には、第1の段落は
レビューただし、非常に狭いユースケースを除き、サーバーの変更が必要です。
彼は実際の問題点を「不利な点」セクションにリストアップしています。つまり、
TLSセッションIDは、TLSおよびHTTPサーバー側スタック (コンセントレータを含む)の上に公開する必要があります。
私は彼らがいなくてはならないと確信しているものが公開されるまで、あなたは.Netの中でそれらにアクセスするつもりはありません。 Brunoはまったく同じ状況を(私がリンクした質問で)指摘しました。ロードバランサ、NAT、またはSSLコンセントレータのような他のアプライアンスを使用している場合、この情報はWebサーバに届くことはありません...
+0
リンクに関して:セッションIDが変わったらOKです。サーバはそれが何であるかを知り、おそらく(希望すれば)私にその変更を通知します。セッションデータにアクセスするための2要素検証としてTLS SessionIDを使用するという考えを探究したいだけです。 – LamonteCristo
+0
短所に関して:私の解釈は、クライアントとプロキシの間に2つのセッションIDがあり、プロキシとサーバ。はい、そのシナリオではそれほど効果的ではありませんが、クライアントとサーバーの間のSSLプロキシ/アクセラレータの使用率はどれくらいですか? – LamonteCristo
関連する問題
- 1. RestSharpセッションとASP.NETセッションでCookieコンテナを使用するにはどうすればよいですか?
- 2. ASP.NET 2010でセッションCookieを削除するにはどうすればよいですか?
- 3. ASP.NETセッションCookieでSecureフラグを設定するにはどうすればよいですか?
- 4. クライアントサイドからCookieセッションにアクセスするにはどうすればよいですか?
- 5. JavaScriptでjspセッションにアクセスするにはどうすればよいですか?
- 6. セッションIDをリセットするにはどうすればよいですか?
- 7. SQL ServerセッションまたはセッションIDを殺すためにどのように
- 8. オブジェクトのセッションにバインドされたインスタンスを取得するために、セッションIDをNinjectコンテナに渡すにはどうすればよいですか?
- 9. 警告を避けるためにプロジェクトIDを設定するにはどうすればよいですか?
- 10. Java JPA/Hibernate:セッション内のエンティティの複数インスタンスを回避するにはどうすればよいですか?
- 11. Grailsプロジェクトの異なるサブドメインの同じセッションとセッションID - どのようにすればいいですか?
- 12. グローバルにアクセスできるようにcodeigniterセッションを設定するにはどうすればよいですか?
- 13. Playframework:特定のアクションでセッション/ Cookieを無効にするにはどうすればよいですか?
- 14. asp.netはどのようにセッションIDを作成しますか?
- 15. ASP.NETでセッションCookieを保護する
- 16. mod_perlのセッションでCookieを使用するにはどうすればよいですか?
- 17. JAX-RS Webサービス内からセッションIDを取得するにはどうすればよいですか?
- 18. Javaスクリプトアウトシステムでサイトまたはセッション変数の値にアクセスするにはどうすればよいですか?
- 19. Google App Engine:クラウドエンドポイント内のセッションにアクセスするにはどうすればよいですか?
- 20. djangoを使ってセッション内の値に動的にアクセスするにはどうすればいいですか?
- 21. ASP.NETの期限切れセッションを検出するにはどうすればよいですか?
- 22. このセッションCookieを削除するにはどうすればよいですか?
- 23. asp.netで重複を避けるにはどうすればいいですか?
- 24. Xamarin WebViewでCookieにアクセスするにはどうすればよいですか?
- 25. ASP.Net:セッションIDがあれば、セッションオブジェクトを取得できますか?
- 26. JSON経由で認証するモバイルユーザーにセッションIDを返すにはどうすればよいですか?
- 27. AFNetworkingでセッションを管理するにはどうすればよいですか?
- 28. フォームでセッションを取得するにはどうすればよいですか?
- 29. 永続セッションをアクティブにするにはどうすればよいですか?
- 30. どのようにすれば、そのセッションIDでdeviseユーザーを見つけることができますか?
投稿へのフォローアップを確認したい場合があります。 IMHOが提案する解決策には、いくつかの非常に実際的な課題/欠点があります。 – NotMe
セッション状態のキー(または第2の検証)としてTLSセッションIDを使用して、場合によってはクッキーの必要性を取り除く方法については興味があります。プロキシとSSLアクセラレーションセッションに関して、私はそれが検証トークンとして最もよく使われていると考えています。 – LamonteCristo