OWASP 网站说:
将会话 ID 绑定到 SSL 会话并提供可配置选项,以便在会话 ID 通过新 SSL 会话传输时采取的操作。
我不确定这是否真的有效。这实际上可以成为防止会话劫持的有用保护吗?
另外,我担心这样做可能会破坏应用程序的功能。
你怎么认为?
将会话 ID 绑定到 SSL 会话
信息安全
tls
脆弱性
会话管理
2021-09-03 07:49:16
2个回答
这个答案对此提供了一些见解。
即,SSL 会话标识符可以随时根据浏览器的判断重新生成。如果这发生在登录会话期间,那么这将具有注销用户的效果。
另一方面,检测单个 SSL 会话是否用于多个会话可能很有用,作为一种检测用户是否不好的方法。但是,作为标记可能的恶意活动的一种手段,IP 地址就足够了,而且更可靠。
您还应该查看 BrowserAuth.net 上列出的 FIDO 和功能
http://www.browserauth.net/channel-bound-cookies
两者都提供带外(Javascript 无法访问)会话 ID,可提供更多/更好的替代方案。
其它你可能感兴趣的问题