Lega l'ID di sessione alla sessione SSL

6

Il sito Web OWASP dice:

Tie the session ID to the SSL session and provide configurable options for actions to take if the session ID is transmitted over a new SSL session.

Non sono sicuro che sia effettivamente valido. Può davvero essere una protezione utile contro il dirottamento di sessione?

Inoltre, temo che in questo modo la funzionalità dell'applicazione potrebbe rompersi.

Che ne pensi?

    
posta maestros 29.09.2015 - 19:17
fonte

2 risposte

1

Questa risposta fornisce alcune informazioni su questo.

Vale a dire che l'identificatore di sessione SSL potrebbe essere rigenerato in qualsiasi momento, a discrezione del browser. Se ciò accade durante una sessione di accesso, questo avrebbe l'effetto di disconnettere l'utente.

Sul retro, potrebbe essere utile rilevare se una singola sessione SSL viene utilizzata per più sessioni, come un modo per rilevare un utente fino a nulla. Tuttavia, l'add-on IP è sufficiente e più affidabile come mezzo per segnalare eventuali attività dannose.

    
risposta data 30.09.2015 - 13:31
fonte
0

Dovresti anche guardare FIDO e le funzionalità elencate su BrowserAuth.net

link

Entrambi offrono gli ID di sessione fuori banda (non accessibili a Javascript) che offrono alternative migliori / migliori.

    
risposta data 30.10.2015 - 13:40
fonte

Leggi altre domande sui tag