お客様から、次のようなJavaWebアプリケーションのセキュリティ強化が要求されました。
セキュリティチームによると、優れたセキュリティプラクティスでは、セッションハイジャックを防ぐために、リクエストごとにセッションIDを変更する必要があるとされています。
認証時に新しいセッションIDを割り当てることの重要性を理解していますが(これはすでに行っています)、この要求は少し極端に思えます。
リクエストごとに再割り当てする場合、それはもはやセッションIDではなく、セッションIDと組み合わせて使用される可能性のある使い捨てのリクエストIDのように聞こえます。
だから、私の質問:そのような戦術は本当に一般的なセキュリティ慣行ですか?もしそうなら、誰かが私にトピック、実装のヒントなどに関する良い議論を教えてもらえますか?
害はありませんが、非常に複雑になる可能性があり、実際には、セキュリティレベルが変更されたときにセッションIDを再生成するだけで済みます。「セッションハイジャック-セキュリティStackExchangeでセッションIDを再生成する」も参照してください。
リクエストごとに新しいセッションIDを生成することは意味がなく、セッションの概念に直面します。ただし、状態の変化(フォームの送信など)を引き起こすすべてのリクエストにリクエストIDを含めることは、非常に賢明なアイデアです。
per / request IDの目的は、CSRF(Cross Site Request Forgery)を防ぐことです。参照:https ://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF )