Cisco AVS - cookie/session protection.

[pjeter]

Czesc.

Przejrzalem możliwości AVSów http://tinyurl.com/2ecj5k , naprawdę niezłe firewalle aplikacyjne, np. "sprzętowy" cookie tampering protection, ale szukam konkretnego rozwiaznia na postawione zadanie.

Tematem jest:
Ochrona SESSION-ID zawartym w cookie po stronie klienta przed wykradzeniem za pomocą pudełka Cisco postawionym po stronie serwera aplikacji.
Jednym z najprostszych i chyba najskuteczniejszych mechanizmów byłby tracking Session-ID + Adres IP. W przypadku kradzieży (skopiowania) cookie czyli numeru sesji od klienta (np. XSSem) zależność z adresem IP zostałaby nie spełniona (wysłany reset sesji do serwera + klienta - wysłanie wygaśnięcia cookie).
Bądź np. cookie poisoining czyli przehashowanie lub wrecz dodanie do zaszyforwanego cookie adresu ip klienta.

Fakt, AVS broni np. przed XSSem itp, ale zawsze można wykraść komuś cookie np. trojanem.
Fakt, powinna to robić aplikacja (serwer), jednak w tym konkretnym przypadku jest to kilka aplikacji webowych, które nie mogą być zmienione .. i kropka.

Szukam jakiegoś pudełka Cisco (nie cisco?), które to potrafi. Jakieś pomysły ?

PJ