Ricerco di nuovo la gestione delle sessioni di un sito e al momento si rinnova l'ID della sessione client su ogni aggiornamento della pagina. L'idea è che se viene rubato direttamente dal browser ci sono meno possibilità che la sessione venga dirottata.
Questo però non sembra avere senso. Se è possibile che un qualche tipo di malware o vulnerabilità del browser produca un id di sessione per un hacker, allora dovrebbero essere abbastanza facilmente in grado di dirottare quella sessione indipendentemente dalla nuova sessione che viene creata ogni volta, come se fosse "arrivare prima" .
Da quello che posso dire non c'è semplicemente alcun modo per risolvere questo tipo di problema concentrandosi sul token di sessione stesso, ma piuttosto sulla corrispondenza con altre informazioni del profilo degli utenti è più affidabile. E, naturalmente, chiedendo la password per i cambiamenti critici.
Quindi c'è un qualsiasi punto nel creare un nuovo token di sessione per ogni caricamento di pagina, sembra un po 'inutile e uno spreco di risorse. In effetti, se si creano così tanti ID, ci sarebbe una maggiore probabilità di indovinare una sessione in modo casuale.
La modifica del token di sessione non dovrebbe essere accettabile durante una sessione o dovrebbe essere rinnovata ogni due minuti?