El sitio web OWASP dice:
Vincule el ID de sesión a la sesión SSL y brinde opciones configurables para acciones a realizar si el ID de sesión se transmite a través de un nuevo SSL sesión.
No estoy seguro de si esto es realmente válido. ¿Puede esto realmente ser una protección útil contra el secuestro de sesiones?
Además, me temo que al hacer esto, la funcionalidad de la aplicación podría fallar.
¿Qué piensas?
Esta respuesta da una idea de esto.
Es decir, que el identificador de sesión SSL podría regenerarse en cualquier momento, a discreción del navegador. Si esto sucede durante una sesión de inicio de sesión, esto tendría el efecto de cerrar la sesión del usuario.
En el reverso, podría ser útil detectar si se está utilizando una única sesión SSL para varias sesiones, como una forma de detectar a un usuario hasta que no está bien. Sin embargo, la dirección IP es suficiente y más confiable como medio de marcar posibles actividades maliciosas.
También debe consultar FIDO y las funciones enumeradas en BrowserAuth.net
Ambos ofrecen ID de sesión fuera de banda (no accesibles a Javascript) que ofrecen más / mejores alternativas.
Lea otras preguntas en las etiquetas vulnerability tls session-management