ログインに成功した後にセッションIDを再生成することは、単なるカーゴカルトの振る舞いではなく、本当に良い習慣であるかどうか疑問に思っています。
理論を正しく理解すれば、セッションハイジャックを防ぐ(または少なくとも難しくする)はずですが、誰かがログイン前のセッションを盗むことができれば、フィッシング詐欺師が再生されたセッションで再びそれを行うのを止めることができるかどうかはわかりません。
私はSpringに焦点を合わせていません(現在Javaも使用していません)。長所と短所に興味があります。
6352 次
2 に答える
9
はい。セッション固定を防ぎ、 CSRFにログインできるように、ログイン時にセッションを再生成する必要が あります。
詳細については、 OWASPの推奨事項を参照してください。
于 2012-11-14T08:06:03.507 に答える
8
ログイン前がhttpで、ログイン後がhttpsの場合、セッションハイジャックを防ぐために再生成します。これが、攻撃者が再生されたもので再びそれを行うのを阻止するものです。
被害者の近く、どこかのパスにいる、またはフィッシングなどを想定している場合、httpセッションのセッション識別子を盗むのは比較的簡単です。このセッション識別子が暗号化されたセッションでも実行可能である場合、攻撃者の仕事になりかねません。結構簡単。
于 2011-05-27T23:31:30.783 に答える