Sto cercando come proteggere un sito Web dal furto del suo cookie di sessione. Questi sono i controlli che so sono ampiamente conosciuti / usati:
- HTTPS ovunque
- Utilizza solo una stringa casuale creata in modo sicuro per il valore del cookie
- Contrassegna il cookie di sessione Sicuro e HttpSolo
- Modifica il cookie di sessione all'accesso
Sto discutendo di un suggerimento trovato nel tracker di Tomcat . Per ogni sessione memorizza le seguenti informazioni aggiuntive:
- ID sessione SSL
- Agente utente HTTP
- Indirizzo IP remoto
Ad ogni richiesta vorrei convalidare che due dei tre valori memorizzati corrispondono a ciò che viene catturato nella sessione. In questo modo uno dei tre potrebbe cambiare per vari motivi senza influenzare l'utente. Sarebbe altamente improbabile che un utente normale ne modificasse più di una per richiesta.
Questa sembra una ragionevole difesa aggiuntiva per il cookie di sessione?