Il sito Web OWASP dice:
Tie the session ID to the SSL session and provide configurable options for actions to take if the session ID is transmitted over a new SSL session.
Non sono sicuro che sia effettivamente valido. Può davvero essere una protezione utile contro il dirottamento di sessione?
Inoltre, temo che in questo modo la funzionalità dell'applicazione potrebbe rompersi.
Che ne pensi?
Questa risposta fornisce alcune informazioni su questo.
Vale a dire che l'identificatore di sessione SSL potrebbe essere rigenerato in qualsiasi momento, a discrezione del browser. Se ciò accade durante una sessione di accesso, questo avrebbe l'effetto di disconnettere l'utente.
Sul retro, potrebbe essere utile rilevare se una singola sessione SSL viene utilizzata per più sessioni, come un modo per rilevare un utente fino a nulla. Tuttavia, l'add-on IP è sufficiente e più affidabile come mezzo per segnalare eventuali attività dannose.
Leggi altre domande sui tag tls vulnerability session-management