ASP.NET アプリケーションでのセッション ハイジャックを防止したいと考えていて、Jeff Prosise によるこのすばらしい投稿に出会いました。しかし、これは 2004 年のものであり、同じことを実行したり、問題を引き起こしたりするアップデートがあったかどうか疑問に思っていました。また、実稼働サーバーでこれを使用した人はいますか? もしそうなら、これによって引き起こされた問題はありましたか? 私のアプリケーションに影響を与える可能性がある唯一の問題は、誰かの IP ネットワークが短期間で変更された場合ですが、これが可能性が高いとは考えられません。
ありがとう
これは長い間死んでいますが、今後数年間でますます多くのサーバーに影響を及ぼし始める可能性のある問題に気づきました。生成されるMACの一部は「。」で分割されたIPアドレスを使用しますが、IPv6アドレスは「:」を使用します。
IPv6に本番サーバーがありませんが、最近、IPv6経由でカッシーニに接続している開発マシンをアップグレードしました。すぐにセッションエラーが連続して発生します。
これは、セッションを強化するための興味深いアプローチですが、セッション ハイジャックを止めることはできません。このシステムには、攻撃者が xssを使用して被害者のブラウザからリクエストを作成でき、攻撃者がセッション ID の値を知る必要がないというHTTPOnly Cookieと同じ問題があります。
この引用は、リンク先の記事から引用したものです。
SecureSessionModule は、盗まれたセッション ID を使用してセッションをハイジャックするハッカーの基準を引き上げます
これによりハードルが上がりますが、XSS および CSRF の脆弱性にパッチを適用する必要があります。