Идентификационное вращение Сессии улучшает безопасность?
(Я думаю), я понимаю, почему идентификаторы сессии должны быть повернуты, когда пользователь входит в систему - это - один важный шаг для предотвращения фиксации сессии.
Однако там какое-либо преимущество к случайным образом/периодически вращающимся идентификаторам сессии?
Это, кажется, только обеспечивает ложное чувство защищенности, по-моему. Принимающие идентификаторы сессии не уязвимы для предположения "в лоб", и Вы только передаете идентификатор сессии в cookie (не как часть URL), затем взломщик должен будет получить доступ к Вашему cookie (скорее всего, путем отслеживания на трафике) для получения идентификатора сессии. Таким образом, если взломщик получит один идентификатор сессии, то они, вероятно, смогут осуществить сниффинг повернутого идентификатора сессии также - и таким образом случайным образом вращение не имеет повышенной безопасности.
3 ответа
Если вы используете идентификаторы сеанса, хранящиеся в файлах cookie , фиксация сеанса не является проблемой. Я пробежался по бумаге, которую вы наклеили, и вижу такие вещи, как использование DNS и XSS для владения пользователем, которые, очевидно, являются гораздо более серьезными (не говоря уже об отдельных) проблемах, чем фиксация сеанса. Если у вас есть идентификатор сеанса (с приемлемым уровнем энтропии), хранящийся в файле cookie, нет разумной причины для его ротации. Единственная причина для его поворота - это то, что он поддается угадыванию или уязвим каким-то другим образом, и в этом случае пользователь все равно становится владельцем.
Веб-разработка - не мой конек, но может ли это быть связано с тем, что пользователь, входящий в систему, может быть злоумышленником? Например, если я вхожу в систему и получаю ID сеанса 4, могу ли я предположить, что ID сеанса 5 будет принадлежать какому-то другому пользователю, изменить мой локальный cookie и затем действовать как этот пользователь?
.В целом идея звучит глупо.
Если бы они нажали кнопку «Назад», пользователи могли бы полностью облажаться, поскольку ссылки на предыдущей странице теперь будут содержать устаревший идентификатор сеанса. Вы также можете выбросить любой AJAX, потому что каждый раз, когда RPC отправляется на сервер, все ссылки / формы на странице требуют обновления, поскольку теперь они имеют недопустимые значения. Во всяком случае, это менее безопасно, потому что это означает, что ваше приложение становится более сложным и имеет больше шансов иметь в нем ошибку.
Если рассуждение требует, чтобы вы «меняли» идентификаторы, это, вероятно, означает, что ваши идентификаторы плохо сгенерированы, и это должно быть исправлено. Если отслеживание является проблемой, используйте SSL.