私のWebアプリケーションはSSL上でしか動作せず、ユーザ名とパスワードで正常にログインした後、各ユーザに対して時間制限されたクッキーを設定します。このシステムの最大の弱点は、既存のユーザーのCookieを侵害することです。そして、2つはセッションID GUIDを推測します。Windows 2003で生成されたGUIDはセッションIDとして安全に使用できますか?
私は最初の弱点のメカニズムを知っていますが、攻撃者が設定したアカウントにログインして取得したGUIDに基づいてセッションID GUIDを推測する可能性について心配する必要があるのでしょうか?アップ?この場合のWebサーバーはWindows 2003で、GUIDは.NET 3.5で生成されています。
GUID作成アルゴリズムが変更されました。彼らはもはやMACアドレスを使用しません。それらはちょうど128Bitの擬似乱数です。そして彼らには多くのセキュリティ上の問題があります。 –
.net 3.5 guidsにはタイムスタンプではないMACアドレスもありません。 –
ベンダーによって.net 3.5のGUIDが暗号で保護されていると記載されていますか? – ConcernedOfTunbridgeWells