3

セッションに関する Microsoft ガイドを既に読んだことがありますが、まだ理解していません。

ランダムな sessionid KOJEAKBAALANILPHAGONBEIC を見たことがあります。これはhttp://www.w3schools.com/から取得したものです。

私の質問は、この小さな文字列を安全に保つにはどうすればよいでしょうか? サイトに多くのアクティブなセッションがある場合、特別に推測するのは簡単です

4

2 に答える 2

4

ASP.NET を使用すると、セッション データをメモリまたはデータベース (SQL Server など) に保存できます。アプリケーションで初めてセッションを使用すると、クライアントにセッション Cookie が返されます。

クライアントからの今後のすべてのリクエストも、セッション Cookie (含めたような ID を含む) を渡します。セッション ID はそれ自体では決して安全ではないことは間違いありません (ただし、簡単なブルート フォース攻撃を防ぐのに十分な文字が含まれています)。

ただし、ここで SSL の出番です。SSL 経由でサイトを提供する場合、その Cookie のコンテンツはネットワーク上を通過する間に暗号化され、詮索好きな目でセッション ID を盗むことはできません (もちろん、サイトが XSS 攻撃に対して開かれている場合を除きます)。 .

于 2013-05-31T20:18:05.203 に答える
1

一般に、セッション データはリモート サーバー メモリに保存され、すべてのセッションには一意の sessionId があります。セッション オブジェクトがアクセスされるまで、ページ要求ごとに常に新しいセッション ID が生成されます。クライアントには、Cookie に保存されているセッション ID の参照があります。

したがって、表示されるのは単なる参照であり、実際のセッション データではありません。それが役に立てば幸い。

于 2013-05-31T22:11:24.147 に答える