Ho letto alcuni degli ultimi giorni sugli ID delle sessioni e sui metodi adottati per impedire alle persone di intercettarli e utilizzarli per dirottare una sessione.
Da quanto ho letto, quando si invia l'ID sessione in un cookie al browser SSL / TSL dovrebbe essere usato per impedire a qualcuno dal pacchetto di annotare l'ID sessione e questo cookie deve essere impostato su HttpOnly in modo che non possa essere letto da JavaScript.
Personalmente ho pensato di verificare che l'indirizzo IP del client da cui viene ricevuto l'ID della sessione sia costante sarebbe una buona misura aggiuntiva, ma ho letto argomenti in conflitto online su persone che dicono che i proxy e altre cose potrebbero rovinare questo.
Le mie domande sono:
- È SSL / TSL e HttpSolo abbastanza per essere sicuro che una sessione non possa essere dirottato?
- Esiste un modo per utilizzare gli indirizzi IP dei client come un ulteriore livello di protezione?
- Ci sono altre misure che possono essere adottate per proteggere una sessione?
- Possiamo mai essere al 100% che qualcuno non possa dirottare una sessione?