我正在寻找可在此网站上进行会话固定的不同解决方案 网站http://hungred.com/useful-information/solutions-session-attacks/。
其中一个解决方案是"利用SSL / TLS会话标识符"。我有几个问题与此有关。
究竟是什么意思?
我们如何在asp.net中实现这个解决方案?
是否需要编码来实现它,或者通过某种配置来完成它?
关于这个解决方案,它还写了许多Web开发语言没有为这个解决方案提供强大的内置功能"。
所以我的另一个问题是这个内置于ASP.NET的功能吗?
答案 0 :(得分:0)
基本上,如果您使用SSL卸载,则设备(例如F5 BIG IP)可以根据客户端证书添加会话cookie。
在纯.net中直接连接到您的代码时,这是不可能的;但是,您可以使用客户端证书作为标识符本身,因此您不需要cookie。
窃取证书通常比窃取cookie更困难,因为私钥受操作系统保护。