나는 세션에 관한 microsoft 가이드를 이미 읽었지만 여전히 내용을 이해하지 못한다 : [ "somesession"] 세션을 호출 할 때마다이 메서드는 세션 쿠키를 읽을 때마다? 어떻게이 작은 문자열이 안전 할 수 있습니다Asp.net Sessionid 쿠키 : 어떻게 작동합니까?
내 질문에서 찍은 KOJEAKBAALANILPHAGONBEIC 임의의 세션 id 입니다 봤어요? 사이트에 많은 활성 세션이있는 경우 임시적으로 추측하기가 쉽습니다.
ASP.NET을 사용하면 세션 데이터를 메모리 또는 데이터베이스 (예 : SQL Server)에 저장할 수 있습니다. 응용 프로그램에서 세션을 처음 사용할 때 세션 쿠키를 클라이언트에 반환합니다.
향후 클라이언트의 모든 요청은 세션 쿠키 (포함 된 ID와 같은 ID 포함)를 전달합니다. 세션 ID가 결코 쉽게 보안되지 않는다는 것은 맞습니다 (쉬운 브 루트 포스 공격으로부터 막을 수있는 충분한 문자가 있음에도 불구하고).
그러나 여기에서 SSL이 재생됩니다. SSL을 통해 사이트를 서비스하는 경우 해당 쿠키의 내용은 전선을 통해 암호화되며 세션 정보가 XSS 공격에 공개되어 있지 않은 한, 모든 시선을 끌면 세션 식별자를 도용 할 수 없습니다. .
일반적으로 세션 데이터는 원격 서버 메모리에 저장되며 모든 세션에는 고유 한 sessionId가 있습니다. 세션 객체가 액세스 될 때까지 항상 새로운 세션 ID가 각 페이지 요청에 대해 생성됩니다. 그리고 클라이언트는 쿠키에 저장된 sessionid에 대한 참조를 가지고 있습니다.
그래서 실제로 볼 수있는 것은 실제 세션 데이터가 아닌 참조입니다. 도움이되기를 바랍니다.