han estado haciendo más cavar en esto. La mejor forma de evitar ataques de fijación de sesión en cualquier aplicación web es emitir un nuevo identificador de sesión cuando un usuario inicia sesión.
En ASP.NET Session.Abandon() no es suficiente para esta tarea. Microsoft declara en http://support.microsoft.com/kb/899918 que: "" Cuando abandona una sesión, la cookie de ID de sesión no se elimina del navegador del usuario. Por lo tanto, tan pronto como se abandone la sesión, cualquier solicitud nueva a la misma aplicación usará la misma ID de sesión pero tendrá una nueva instancia de estado de sesión. ""
Se ha solicitado una corrección de errores para esto en https://connect.microsoft.com/feedback/viewfeedback.aspx?FeedbackID=143361&wa=wsignin1.0&siteid=210#details
Existe una solución alternativa para garantizar que se generen identificadores de sesión nuevos detallados en http://support.microsoft.com/kb/899918 esto implica llamar a Session.Abandon y luego borrar la cookie de id de sesión.
Sería mejor si ASP.NET no dependiera de los desarrolladores para hacer esto.
Mi solución a la fijación de sesión es para apagarlo! –