Является ли восстановление идентификатора сеанса после входа в систему хорошей практикой?

Мне интересно, если восстановление идентификатора сеанса после успешного входа в систему действительно хорошая практика, а не просто поведение кустарного груза.

Если я правильно понимаю теорию, это должно предотвратить захват сеанса (или, по крайней мере, сделать его более сложным), но я не могу видеть, что если кто-то может украсть сеанс предварительного входа, что бы остановить фишер, делающий это снова с помощью регенерированный.

Я не фокусируюсь на Spring (я даже не использую Java в настоящее время), меня интересуют плюсы и минусы.

Ответ 1

Вы регенерируете, чтобы предотвратить захват сеанса, когда предварительный вход - http, а post-login - https. Это то, что останавливает атакующего снова с регенерированным.

Сравнительно легко украсть идентификатор сеанса для сеанса http, предполагая, что вы находитесь рядом с жертвой или где-то на пути, или фишируете и т.д. - и если этот идентификатор сеанса также является жизнеспособным в зашифрованном сеансе, он может сделать работа злоумышленника довольно проста.

Ответ 2

Да. Вы должны восстановить сеанс при входе в систему, чтобы защитить от фиксацию сеанса и login CSRF.

Подробнее см. рекомендацию OWASP.