<div>Thanks for the information provided. I wil be digging into this. Thanks for the information provided Erlend and Jim.</div>
<div></div>
<div>Dinis, I'm currently focused on WCF and REST architectural style to build services on top of the Web. I'm also currently focused on ASP.NEt Ajax and MVC framework. Do you know what are the needs of the .Net project? I have been researching about some of the vulnerabilities when people usually creates SOAP-based web services.</div>

<div></div>
<div>Thanks <br><br></div>
<div class="gmail_quote">On Mon, Apr 2, 2012 at 8:16 AM, Erlend Oftedal <span dir="ltr"><<a href="mailto:Erlend.Oftedal@bekk.no">Erlend.Oftedal@bekk.no</a>></span> wrote:<br>
<blockquote style="BORDER-LEFT:#ccc 1px solid;MARGIN:0px 0px 0px 0.8ex;PADDING-LEFT:1ex" class="gmail_quote">
<div>
<div>
<div style="FONT-FAMILY:Calibri,sans-serif;FONT-SIZE:11pt"><a href="http://asp.net/" target="_blank">ASP.NET</a> is interesting that way. Authentication and session data is split in two. The FormsAuthCookie is an encrypted cookie with a username and timestamp. It cannot be invalidated server side, so there is really no way to log out. A log out is just a manner of deleting the cookie client side, which, in case it's stolen, doesn't really help. The session though is invalidatable server side. But it doesn't contain authentication data. If there is no data in the session, no session is kept. If the user submits a cookie value containing a session id that does not exist on the server, the server will create one with the given id... <br>
This is at least the way it works pre-MVC.<br><br>Regarding protection you can set absolute and sliding expiration of the auth. You can set the Secure flag and I think httponly is on by default.<br><br>Erlend<br><br></div>
</div>
<hr>
<span style="FONT-FAMILY:Tahoma,sans-serif;FONT-SIZE:10pt;FONT-WEIGHT:bold">From: </span><span style="FONT-FAMILY:Tahoma,sans-serif;FONT-SIZE:10pt">Michael Hidalgo Fallas</span><br><span style="FONT-FAMILY:Tahoma,sans-serif;FONT-SIZE:10pt;FONT-WEIGHT:bold">Sent: </span><span style="FONT-FAMILY:Tahoma,sans-serif;FONT-SIZE:10pt">02.04.2012 15:57</span><br>
<span style="FONT-FAMILY:Tahoma,sans-serif;FONT-SIZE:10pt;FONT-WEIGHT:bold">To: </span><span style="FONT-FAMILY:Tahoma,sans-serif;FONT-SIZE:10pt">OWASP Leaders; dinis cruz</span><br><span style="FONT-FAMILY:Tahoma,sans-serif;FONT-SIZE:10pt;FONT-WEIGHT:bold">Subject: </span><span style="FONT-FAMILY:Tahoma,sans-serif;FONT-SIZE:10pt">[Owasp-leaders] ASP.net Session hijacking</span> 
<div>
<div class="h5"><br><br>
<div>
<div>Hi Leaders,</div>
<div></div>
<div>I wonder if any of you guys have create any kind of research/best practice about ASP.Net Session Hijacking attacks and prevention. I'm currently focused on how to prevent this kind of attacks using ASP.Net.</div>

<div></div>
<div>Also Do you think it is a good idea to have a White papers section in our main page? If this section already exist, please point me there. I believe that this kind of documents may follow any of the IEEE standards to perform researchs. I know that there are several research in our site, but this kind of white papers can be distributed in universities.</div>

<div><br clear="all"></div>
<div>Thanks for your comments!<br>-- <br></div>
<p></p>
<p><font color="#4c1900"><font face="Khmer UI, sans-serif"><b>Michael Hidalgo F.<br>OWASP Chapter Leader,Costa Rica.</b></font></font></p>
<p><font color="#4c1900"><font color="#000000"><font face="Khmer UI, sans-serif"><b><i>If you believe in yourself and have dedication and pride - and never quit, you'll be a winner. The price of victory is high but so are the rewards. Paul Bryant</i></b></font></font></font></p>

<p></p><br></div></div></div></div></blockquote></div><br><br clear="all"><br>-- <br>
<p></p>
<p><font color="#4c1900"><font face="Khmer UI, sans-serif"><b>Michael Hidalgo F.<br>OWASP Chapter Leader,Costa Rica.</b></font></font></p>
<p><font color="#4c1900"><font color="#000000"><font face="Khmer UI, sans-serif"><b><i>If you believe in yourself and have dedication and pride - and never quit, you'll be a winner. The price of victory is high but so are the rewards. Paul Bryant</i></b></font></font></font></p>

<p></p><br>