La vinculación de tokens aumenta la seguridad de los tokens tradicionales de portador (cookies).
Este blog describe que ASP.NET puede usar el enlace de token. Como asesor de seguridad, me gustaría observar o detectar que esto se hace desde una perspectiva externa.
¿Qué técnica (netmon) o herramientas me permite determinar si el enlace de token está en uso para un sitio web determinado?
Cuando un servidor que admite el protocolo Token Binding recibe un enlace token, el servidor compara el ID de enlace de token de TLS en el token de seguridad con el ID de enlace de token de TLS establecido con el cliente. Si el token enlazado proviene de una conexión TLS sin un enlace de token, o si las ID no coinciden, el token se descarta.
( borrador )
El problema es que no creo que ningún cliente esté implementando el enlace de token que sigue el borrador. Por lo tanto, debe crear un cliente de prueba y luego borrar o cambiar la clave privada y el token de portador debe eliminarse.
No sabría por qué un cliente querría tener esto probado en sus servidores. ¿Hay clientes (clientes de software) que admiten el enlace de token? Parece que .net es una de las primeras piezas de software para soportar el protocolo. Además, el protocolo sigue siendo un borrador, por lo que tomará un tiempo hasta que veamos la adopción.
Lea otras preguntas en las etiquetas authentication cookies session-management token asp.net