Vincule el ID de sesión a la sesión SSL

6

El sitio web OWASP dice:

  

Vincule el ID de sesión a la sesión SSL y brinde opciones configurables   para acciones a realizar si el ID de sesión se transmite a través de un nuevo SSL   sesión.

No estoy seguro de si esto es realmente válido. ¿Puede esto realmente ser una protección útil contra el secuestro de sesiones?

Además, me temo que al hacer esto, la funcionalidad de la aplicación podría fallar.

¿Qué piensas?

    
pregunta maestros 29.09.2015 - 19:17
fuente

2 respuestas

1

Esta respuesta da una idea de esto.

Es decir, que el identificador de sesión SSL podría regenerarse en cualquier momento, a discreción del navegador. Si esto sucede durante una sesión de inicio de sesión, esto tendría el efecto de cerrar la sesión del usuario.

En el reverso, podría ser útil detectar si se está utilizando una única sesión SSL para varias sesiones, como una forma de detectar a un usuario hasta que no está bien. Sin embargo, la dirección IP es suficiente y más confiable como medio de marcar posibles actividades maliciosas.

    
respondido por el SilverlightFox 30.09.2015 - 13:31
fuente
0

También debe consultar FIDO y las funciones enumeradas en BrowserAuth.net

enlace

Ambos ofrecen ID de sesión fuera de banda (no accesibles a Javascript) que ofrecen más / mejores alternativas.

    
respondido por el random65537 30.10.2015 - 13:40
fuente

Lea otras preguntas en las etiquetas