誰かがセッションを転送できないようにする良い方法はありますか?そのため、ユーザーはセッショントークンIDをあるマシンから別のマシンに移動/コピーできませんか?
ありがとうございました!
誰かがセッションを転送できないようにする良い方法はありますか?そのため、ユーザーはセッショントークンIDをあるマシンから別のマシンに移動/コピーできませんか?
ありがとうございました!
受信IPアドレスの文字列を暗号化してセッションに入れるのはなぜでしょうか。次に、セッションオブジェクトを操作するときに、セッションからipを復号化し、要求IPに対して有効であることを確認することによって、セッションオブジェクトを検証することができます。
単なるアイデアです。コードが必要な場合はお知らせください。
web.configファイルのsessionState
ノードのcookieless
属性をfalseに設定して、クッキーを使用してURLの代わりにセッションキーを保存するようにします。ここでは、件名に(古い)の記事のカップルです:
Cookieは、完全に "安全" ではありません。 google the topicをお探しの場合はsession hijackingとなります。
これは、OPの質問に対処していないようです。あなた自身が正しく指摘しているので、セッショントークン(ここではクッキー内)は引き続き別のマシンにコピーできます。 OPは、そのコピーが既に発生した状況、すなわちセッションハイジャックからの保護方法をどのように処理するかを尋ねる。 – Cheekysoft
これは、両方のユーザー(被害者とハイジャッカー)が同じIPアドレスを持つように見えるため、ユーザーがNATファイアウォールの背後にいる瞬間には機能しません。 – slugster