Как реализовать «Идентификатор сеанса SSL/TLS Session» в asp.net

Question

Я рассматриваю различные решения, доступные для фиксации сеанса в этом веб-сайте сайт http://hungred.com/useful-information/solutions-session-attacks/.

Одним из решений является «Использовать идентификатор сеанса SSL/TLS». У меня мало вопросов, связанных с этим.

Что на самом деле означает это?
Как мы можем реализовать это решение в asp.net?
Есть ли необходимость в кодировании для его реализации, или это будет сделано с помощью некоторой конфигурации?

В отношении этого решения также написано, что «многие языки веб-разработки не обеспечивают надежных встроенных функций для этого решения».

Так что еще мой вопрос: это встроенная функция для ASP.NET?

Answer 1

В принципе, если вы используете разгрузку SSL, устройство (например, F5 BIG IP) может добавить файл cookie сеанса на основе сертификата клиента.

В чистом виде .net при подключении непосредственно к вашему коду это невозможно; однако вы можете использовать сертификат клиента как сам идентификатор, поэтому вам не нужен куки-файл.

Кража сертификата обычно сложнее, чем кража файла cookie, поскольку секретные ключи защищены ОС.