نقل قول نوشته شده توسط Behrouz_Rad مشاهده تاپیک

راهکار مقابله به Session Hijacking
راهکاری که میشه استفاده کرد، "منحصر به فرد تَر کردن" Session ID هست.
بدین شکل که برخی مشخصه های کاربر همانند IP و User Agent رو همراه با یک کلید رمز به یک الگوریتم Hash همانند HMACSHA1 که یک کلید رو برای رمزنگاری می پذیره داد و رشته ی رمزنگاری شده رو به انتهای SessionID اضافه کرد.
فرایند فوق رو به راحتی میشه از طریق یک HttpModule پیاده سازی کرد.
روال EndRequest مکان خوبی برای الصاق مشخصه ی به دست آمده به انتهای SessionID هست.
روال BeginRequest نیز می تونه برای بررسی صحت این مشخصه استفاده بشه.

خوب بهروز جان اگر ما sessionID رو کلید بگیریم و یا به هر شکل این SessionID بعد از ورود کاربر به سیستم نقش کلیدی بازی کنه اگر Hijacker این کوکی رو روی سیستمش ایجاد کنه خودش و به سایت ما بیاد با همون نقش کاربر شناسایی شده ما شناخته میشه و اینجا به هر حال سیستم متوجه نمیشه که این اون نیست (البته در صورتی که فقط به این SessionID اکتفا بشه) مگر اینکه از ClientIP شخص هم جز پارامتر ها استفاده کنیم که این هم خیلی معتبر نیست . ایا روشی پیشنهاد می کنی شما که در این روش حتی اگه ه.ک.ر کوکی رو هم ایجاد کرد سیستم تشخیصش بده؟ یا در کل راه حلی جامع واسه این عمل ؟

بابت اینکه IP و ... رو هم به تهsessionID اضافه کنیم گفتی شما اما اگر کوکی رو شخص ایجاد کنه رو سیستمش این ها چه فرقی میکنه؟ (شاید من درست متوجه نشدم اگه ممکنه این قسمت رو باز ترش کن تا دو هزاری کج من بیفته)