Jeff Prosise's session hijack blog - irgendwelche Updates?

Question

Ich möchte Session Hijacking in meiner ASP.NET-Anwendung verhindern und bin auf Folgendes gestoßen großer Posten von Jeff Prosise. Es ist jedoch aus dem Jahr 2004 und ich frage mich, ob es Aktualisierungen gibt, die entweder das Gleiche bewirken oder zu Komplikationen führen? Hat jemand dieses Programm auf einem Produktionsserver eingesetzt, und wenn ja, gab es irgendwelche Probleme, die dadurch verursacht wurden? Das einzige Problem, das sich auf meine Anwendungen auswirken könnte, wäre, wenn sich das IP-Netzwerk von jemandem in kurzer Zeit ändert, aber das halte ich für unwahrscheinlich.

Danke

Answer 1

Dies ist ein interessanter Ansatz zur Sitzungsabsicherung, aber er verhindert nicht das Session-Hijacking. Dieses System hat das gleiche Problem wie HTTPOnly-Cookies dass ein Angreifer vom Browser des Opfers aus mit Hilfe von xss Anfragen erstellen kann, für die er den Wert der Sitzungskennung nicht kennen muss.

Dieses Zitat stammt aus dem Artikel, den Sie verlinkt haben:

SecureSessionModule erhöht die Hürde für Hacker, die Sitzungen mit gestohlenen Sitzungs-IDs entführen

Damit wird die Messlatte höher gelegt, aber Sie müssen immer noch Ihre XSS- und CSRF-Schwachstellen flicken.

Answer 2

Dieses ist schon lange tot, aber mir ist ein Problem aufgefallen, das möglicherweise in den kommenden Jahren immer mehr Server betreffen wird. Ein Teil der generierten MAC verwendet die IP-Adresse, wobei das "." geteilt wird, während IPv6-Adressen ":" verwenden.

Ich habe keinen Produktionsserver mit IPv6, aber ich habe vor kurzem meinen Entwicklungsrechner aktualisiert, der sich über IPv6 mit Cassini verbindet, und ich gerate sehr schnell in eine ununterbrochene Reihe von Sitzungsfehlern.