誰かがASP.NET セッション Cookie 名の名前を変更する必要がある理由 (安全性?) はありますか?それとも ASP.NET の無意味なオプションですか?
質問する
7614 次
6 に答える
15
同じサーバーの同じドメインで複数のアプリケーションを実行している場合、同じセッション状態を共有したり、さらに悪いことに相互に上書きしたりしないように、それぞれに個別のセッション Cookie 名を使用することをお勧めします。
Forms Auth cookie nameのメモも参照してください。
認証に使用する HTTP Cookie を指定します。複数のアプリケーションが 1 つのサーバーで実行されており、各アプリケーションが一意の Cookie を必要とする場合は、アプリケーションごとに各 Web.config ファイルで Cookie 名を構成する必要があります。
于 2009-08-18T08:17:21.660 に答える
2
1) それを (何気なく) 探している人の速度が (わずかに) 遅くなる可能性があります。
2) ASP.NET を実行していることを隠したい場合があります。
于 2009-08-18T08:05:00.343 に答える
2
于 2019-10-02T07:15:59.723 に答える
2
以下のリンクは、セッション Cookie の名前を変更する必要がある理由に関する詳細情報を提供します。
https://www.owasp.org/index.php/Session_Management_Cheat_Sheet
「セッション ID で使用される名前は、極端に説明的であってはならず、ID の目的と意味について不必要な詳細を提供するべきではありません。
PHPSESSID (PHP)、JSESSIONID (J2EE)、CFID & CFTOKEN (ColdFusion)、ASP.NET_SessionId (ASP .NET) など、最も一般的な Web アプリケーション開発フレームワークで使用されるセッション ID 名は、簡単にフィンガープリントできます [0]。 . したがって、セッション ID 名は、Web アプリケーションで使用されるテクノロジとプログラミング言語を明らかにする可能性があります。
Web 開発フレームワークのデフォルトのセッション ID 名を「id」などの一般的な名前に変更することをお勧めします。"
于 2015-11-25T07:11:11.667 に答える
0
主に好みの問題だと思います。一部の人々/企業は、Web アプリのすべての側面を制御したいと考えており、他の Cookie 名との一貫性のために別の名前を使用する場合があります。たとえば、アプリ全体で非常に短い 1 文字のパラメーター名を使用する場合、ASPSESSID のようなセッション cookie 名が気に入らない場合があります。
セキュリティ上の理由が当てはまるかもしれませんが、私の意見では、あいまいさによるセキュリティはかなり弱いです。
于 2009-08-18T08:19:04.777 に答える