Увеличивает ли безопасность идентификатора сеанса?

(я думаю) Я понимаю, почему идентификаторы сеансов должны быть повернуты, когда пользователь входит в систему - это один важный шаг для предотвращения фиксации сеанса.

Однако существует ли какое-либо преимущество для случайного/периодического вращения идентификаторов сеанса?

Это, по-моему, только дает ложное чувство безопасности, на мой взгляд. Предполагая, что идентификаторы сеанса не уязвимы для угадывания грубой силы, и вы передаете только идентификатор сеанса в cookie (не как часть URL-адресов), тогда злоумышленник должен получить доступ к вашему файлу cookie (скорее всего, отслеживая ваш трафик), чтобы получить ваш идентификатор сессии. Таким образом, если злоумышленник получает один идентификатор сеанса, он, вероятно, также сможет обнюхать и повернутый идентификатор сеанса - и, следовательно, случайное вращение не улучшило безопасность.

Ответ 1

Если вы используете идентификаторы сеансов, хранящиеся в файлах cookie, фиксация сеанса не является проблемой. Я просматривал документ, который вы вставили, и я вижу такие вещи, как использование DNS и XSS для владения пользователем, что, очевидно, намного выше (не говоря уже о раздельных) проблемах, чем фиксация сеанса. Если у вас есть идентификатор сеанса (с приемлемым уровнем энтропии), хранящийся в файле cookie, нет разумной причины повернуть его. Единственная причина для его вращения - это потому, что он может быть угадан или уязвим каким-то другим способом, и в этом случае пользователь все равно будет владеть.

Ответ 2

Веб-разработка - это не мое дело, но возможно ли это, потому что вход в систему пользователя может быть злоумышленником? Например, если я вхожу в систему и получаю идентификатор сеанса 4, могу ли я предположить, что идентификатор сеанса 5 будет принадлежать другому пользователю, изменить мой локальный файл cookie и затем действовать как этот пользователь?

Ответ 3

Звучит как глупая идея в целом.

Это полностью испортило бы пользователей, если они нажмут кнопку "Назад", поскольку ссылки на предыдущей странице теперь будут содержать устаревший идентификатор сеанса. Вы также можете выкинуть любой AJAX, потому что каждый раз, когда RPC создается на сервере, все ссылки/формы на странице требуют обновления, так как теперь они имеют недопустимые значения. Если что-то менее безопасно, потому что это означает, что ваше приложение становится более сложным и дает больше шансов на ошибку.

Если рассуждение требует, чтобы вы "вращали" ids, это, вероятно, означает, что ваши идентификаторы плохо созданы, и это должно быть исправление. Если snooping является проблемой, используйте SSL.

Ответ 4

В соответствии с этим сообщением SSL Labs (с 2013 года), чипы RC4 (все еще замеченные в дикой природе, 2017) слабый разрешить черной шляпе выставлять данные cookie сеанса из перехваченного HTTPS-трафика (например, через Wi-Fi).

Поворот идентификатора/данных cookie сессии каждые x единиц времени (минут?) и после каждого количества запросов y предлагается в сообщении в блоге.