我希望阻止我的ASP.NET应用程序中的会话劫持,并且Jeff Prosise遇到了这个great post。但是,从2004年开始,我想知道是否有任何更新要么执行相同的操作,要么导致任何复杂情况?还有,有人在生产服务器上使用过这个,如果有的话,是否有任何问题?可能影响我的应用程序的唯一问题是,如果有人的IP网络在短时间内发生变化,但我无法想象这很可能。
由于
答案 0 :(得分:0)
这是一种有趣的会话强化方法,但它不会阻止会话劫持。该系统与HTTPOnly Cookies具有相同的问题,即攻击者可以使用xss从受害者的浏览器创建请求,并且攻击者无需知道会话ID的值。
此引用摘自您链接的文章:
SecureSessionModule为使用被盗会话ID劫持会话的黑客提高了标准
这提高了标准,但您仍然需要修补XSS和CSRF漏洞。
答案 1 :(得分:0)
这已经很久了,但我注意到它的问题可能在未来几年内开始影响越来越多的服务器。生成的部分MAC使用IP地址,拆分为“。”,但IPv6地址使用“:”。
我在IPv6上没有生产服务器,但我最近升级了我的开发机器,它通过IPv6连接到Cassini,我很快就遇到了一系列不间断的会话错误。