Token Binding aumenta la sicurezza dei token bearer tradizionali (cookie).
Questo blog descrive che ASP.NET può utilizzare Token Binding. Come consulente per la sicurezza, mi piacerebbe osservare o rilevare che ciò avvenga da una prospettiva esterna.
Quale tecnica (netmon) o tooling mi consente di determinare se l'associazione del token è in uso per un determinato sito web?
When a server supporting the Token Binding protocol receives a bound token, the server compares the TLS Token Binding ID in the security token with the TLS Token Binding ID established with the client. If the bound token came from a TLS connection without a Token Binding, or if the IDs don't match, the token is discarded.
( bozza )
Il problema è che non credo che nessun client stia implementando l'associazione di token che segue la bozza. Quindi dovresti creare tu stesso un client di prova e quindi cancellare o modificare la chiave privata e il token di trasporto dovrebbe essere eliminato.
Non saprei dire perché un cliente vorrebbe averlo testato sui suoi server. Esistono client (client software) che supportano l'associazione dei token? Sembra che .net sia uno dei primi pezzi di software a supportare il protocollo. Inoltre, il protocollo è ancora una bozza quindi ci vorrà un po 'di tempo prima di vedere l'adozione.
Leggi altre domande sui tag authentication asp.net cookies session-management token