Я много читал о атаках фиксации сеанса, и самые популярные решения, с которыми я столкнулся, меняют SessionID при входе пользователя в систему и создании дополнительного файла cookie с использованием GUID, чтобы проверить, что пользователь "принадлежит" SessionID.
Мой вопрос заключается в следующем: недостаточно ли просто удалить cookie SessionID (ASP.NET_SessionID), чтобы обеспечить создание нового SessionID? В MVC 5, когда пользователь регистрируется в дополнительном зашифрованном пользователе, создается куки файлы cookie (AspNet.ApplicationCookie), которые Identity использует для аутентификации пользователя по каждому запросу. Дополнительный "GUID cookie" кажется ненужным.
Im изначально разработчик приложений на платформе .NET, пишущий мое первое приложение MVC, и кривая обучения была немного крутой... хотя и освежающе приятным.
Спасибо за любую помощь.
