IIS 6.0 は、セッション ID Cookie に次の形式を使用します
セット Cookie: ASPSESSIONIDACTCRDDR=EMGFKIKAPMLMCAJPOAPNKADG;
ASPSESSIONID の後の部分はランダムです。ランダムな部分はそれほど長くなく、有効なセッション ID を推測できます。
IIS 6 を構成して Cookie をより長くし、より安全にする方法はありますか?
IIS 7以降でフォーマットが同じかどうか知っていますか?
この情報を読んで、正確に何を期待していますか?
「回線を介して」移動する情報のセキュリティが心配な場合は、SSL (ログインフォームを含む) を使用してください。
何かがローカルで情報を読み取っていることを懸念している場合は、より大きな問題が発生しています - 彼の側の何かが侵害されているか、誰かがあなたのサイトにコードを挿入したかのいずれかです.
ランダムな推測が心配な場合、それはこの種の情報に対する実際的な攻撃ではありません。通常は、ネットワーク経由で情報を聞くか、他の手段 (中間者など) でデータをハイジャックする方が簡単です。