セッションIDによるブルートフォーシングによるセッションハイジャックは可能ですか？

エントロピーに関するティムの答えは、セッションIDをブルートフォースで強制するというトピックにぴったりです。

ただし、セッションを盗む簡単な方法があります。たとえば、HTTPS（認証）を介してセッションを発行した後、HTTPにバウンスすると、セッションはクリアテキストで公開されます。 HTTPを経由するものはすべて、大声で叫び、回線を聞いているすべての人に開かれていると想定できます。

標的型攻撃では、ユーザーをだましてターゲットWebサイトへのHTTP URLをクリックさせ、ユーザーがURLをクリックしてHTTP経由でセッションを送信するまで攻撃者は盗聴します。そのため、セッションにセキュアフラグを設定して、HTTPS経由でない限り送信されないようにする必要があります。

セッションをIPにバインドできますが、NATの背後にいる場合、多くのユーザーが同じIPを共有する可能性があることに注意してください。したがって、これは本当に優れたセキュリティソリューションではありません。

SSLを介してセッション全体を実行している場合でも、ブラウザーの脆弱性によりセッションが盗まれる可能性があります。クロスサイトスクリプティングがセッションを盗む可能性があります。安全を確保するには、これらの問題をすべて修正する必要がありますが、結局のところ、セッションが盗まれる可能性があると想定して、何を考えますか？

セッションハイジャックの高度なソリューションの1つは同期トークンです。このようにして、クライアントブラウザがサーバーにHTTPリクエストを送信するたびに、サーバーは新しいランダムコンプレックストークンをクライアントに非表示フォームフィールド値として送信し、クライアントは次のリクエストでこの値を非表示のフォーム値。クライアントが適切なセッション（たとえば、Cookieから盗まれた）を送信したが、最新の同期トークンがない場合は、何か問題があります。このソリューションは、クロスサイトリクエストフォージェリも防止します。 SSLを使用している場合、このソリューションは中間の人間によって破られることもありません。

いいえ、セッションIDが十分に長く、十分なエントロピーがある場合。
それでも問題になる場合は、秘密鍵を使用してCookieに暗号で署名できます。
ただし、Cookieへの署名はあまり効果がありません。
署名が128ビット長で、Cookieも128ビット長であるかのように
Cookieは、256ビット長のCookieと考えることができます。