Il sito Web OWASP dice:
Tie the session ID to the SSL session and provide configurable options for actions to take if the session ID is transmitted over a new SSL session.
Non sono sicuro che sia effettivamente valido. Può davvero essere una protezione utile contro il dirottamento di sessione?
Inoltre, temo che in questo modo la funzionalità dell'applicazione potrebbe rompersi.
Che ne pensi?