セッションに関する Microsoft ガイドを既に読んだことがありますが、まだ理解していません。
ランダムな sessionid KOJEAKBAALANILPHAGONBEIC を見たことがあります。これはhttp://www.w3schools.com/から取得したものです。
私の質問は、この小さな文字列を安全に保つにはどうすればよいでしょうか? サイトに多くのアクティブなセッションがある場合、特別に推測するのは簡単です
セッションに関する Microsoft ガイドを既に読んだことがありますが、まだ理解していません。
ランダムな sessionid KOJEAKBAALANILPHAGONBEIC を見たことがあります。これはhttp://www.w3schools.com/から取得したものです。
私の質問は、この小さな文字列を安全に保つにはどうすればよいでしょうか? サイトに多くのアクティブなセッションがある場合、特別に推測するのは簡単です
ASP.NET を使用すると、セッション データをメモリまたはデータベース (SQL Server など) に保存できます。アプリケーションで初めてセッションを使用すると、クライアントにセッション Cookie が返されます。
クライアントからの今後のすべてのリクエストも、セッション Cookie (含めたような ID を含む) を渡します。セッション ID はそれ自体では決して安全ではないことは間違いありません (ただし、簡単なブルート フォース攻撃を防ぐのに十分な文字が含まれています)。
ただし、ここで SSL の出番です。SSL 経由でサイトを提供する場合、その Cookie のコンテンツはネットワーク上を通過する間に暗号化され、詮索好きな目でセッション ID を盗むことはできません (もちろん、サイトが XSS 攻撃に対して開かれている場合を除きます)。 .
一般に、セッション データはリモート サーバー メモリに保存され、すべてのセッションには一意の sessionId があります。セッション オブジェクトがアクセスされるまで、ページ要求ごとに常に新しいセッション ID が生成されます。クライアントには、Cookie に保存されているセッション ID の参照があります。
したがって、表示されるのは単なる参照であり、実際のセッション データではありません。それが役に立てば幸い。