Modifica dell'ID di sessione dopo il login

Naviga le tue risposte
6

La mia applicazione web è accessibile solo per gli utenti autenticati. Prima di accedere l'utente può solo vedere la pagina principale con un pulsante per accedere. L'applicazione assegna un ID di sessione sulla pagina principale, l'autenticazione è gestita da un'altra applicazione.

Dopo l'accesso e il ritorno alla mia applicazione, l'utente ha ancora lo stesso ID di sessione. Tuttavia, verrà modificato dopo il logout.

OWASP ASVS afferma che l'ID di sessione dovrebbe essere cambiato all'accesso, ma non vedo un punto chiaro perché è necessario per questa situazione? È necessario cambiarlo?

    
posta user187205 26.12.2017 - 19:21
fonte

1 risposta

7

Il motivo per cui è meglio cambiare l'ID di sessione al momento dell'accesso è a causa di potenziali vulnerabilità man-in-the-middle. Se un utente malintenzionato cattura l'ID della sessione, può utilizzarlo per rappresentare l'utente legittimo. Questa è chiamata vulnerabilità alla fissazione della sessione. La modifica degli ID di sessione ad ogni accesso contribuirà a prevenire questa vulnerabilità, in quanto l'ID della sessione precedente sarà ritenuto non valido e l'utente malintenzionato non potrà più utilizzarlo per l'autenticazione.

References:

link link

    
risposta data 26.12.2017 - 21:29
fonte

Leggi altre domande sui tag

Quanto tempo devo aspettare prima di scegliere una funzione hash? avviso GnuPG per una chiave firmata con livello di attendibilità 4