CookieのASPSESSIONIDについて(ASP)

Question

今回、ASPで(ASP.NETではない)ログイン前のSessionIDとログイン後のSessionIDが異なるウェブセットを作りたいですが、私はログインページの最後でSession.Abandon()を使って、次のページでSessionIDを変っていた、そして必要な情報を取得して、Sessionに設定したら、ログイン前後のSessionIDが変更されて、次の操作も実現しました。
わざわざそういうやり方の目的はセキュリティのためですから、しかし、SessionIDを変更しても、Cookie中にASPSESSIONIDをずっと変更していない。
それなら、SessionIDの変更するかどうかにかかわらず、もし攻撃者がCookie中にASPSESSIONIDがなりすまして、まだ違法の画面に入りますか？
そういうとき、Cookie中にASPSESSIONIDを変更できますか？もうひとつ問題ですが、Cookie中にASPSESSIONIDをどうやって生成しますか？
ネットでいろんな調べていた、まだわからないところがたくさんありますので、みんなさんが助けってください。宜しくお願いします。

Answer 1

質問が理解できませんので、ピンポイントで回答できませんが、以下のページの中にある程度
回答が含まれているのではないかと思います。

ASP.NET でセッション ID が再利用されるしくみと理由について
http://support.microsoft.com/default.aspx/kb/899918/ja

プログラミングASP.NET 第15回　セッションとビューステート
http://www.atmarkit.co.jp/fdotnet/aspnet/aspnet15/aspnet15_02.html

一度読んでみてください。

Answer 2

ASPとありますのでASP.NETではなくクラッシックASPでしょうか？　であれば、以下が参考になるかもしれません。

ASP と Web セッション管理
http://msdn.microsoft.com/ja-jp/library/ms972338.aspx

---

★良い回答には回答済みマークを付けよう！ わんくま同盟 MVP - Visual C# http://blogs.wankuma.com/trapemiya/

Answer 3

> ASPとありますのでASP.NETではなくクラッシックASPでしょうか？

すみません、早とちりでした。ASPSESSIONID も ASP で用いられている名前
のようですね。

ASP はぜんぜん分かりませんが、先に紹介した Web ページのサンプルコード

Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId", ""));

のようなことは可能でしょうか？

Answer 4

> ASPとありますのでASP.NETではなくクラッシックASPでしょうか？

すみません、早とちりでした。ASPSESSIONID も ASP で用いられている名前
のようですね。

ASP はぜんぜん分かりませんが、先に紹介した Web ページのサンプルコード

Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId", ""));

のようなことは可能でしょうか？

今回、対応したウェブサイトについて、ASPとASP.NET二つがあります。
ASP.NETなら、SurferOnWwwさんの言う通りに「Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId", ""));」を使って、ちゃっと解説しました。
ASPなら、いろいろ調べした後、SessionIDを変えても、CookieのASPSESSIONIDも変わらないそうです。

でも、変な日本語を使って、質問していた。それでも、SurferOnWwwさんまだたくさん工夫を使って、本当にありがとうございます。、

Answer 5

皆様、こんにちは。

SurferOnWwwさん、trapemiyaさん、いつも回答ありがとうございます。

ボウボウボウさん、はじめまして。フォーラムのご利用ありがとうございます。
有用な情報と思われたため、勝手ながらSurferOnWwwさん、trapemiyaさんの回答へ回答マークをつけさせていただきました。

今後ともフォーラムをよろしくお願いします。
それでは！