Ho letto alcune letture sulla gestione degli ID di sessione e ho appreso che generalmente è una cattiva idea includere un ID di sessione nel codice sorgente HTML e / o nella stringa di query. Ad esempio È corretto utilizzare il modulo campo (nascosto) per la memorizzazione del token di sessione e Perché passare l'id della sessione come parametro url non sicuro?
Con questo in mente, c'è un modo sicuro per gestire le sessioni se i cookie sono disabilitati?
Ad esempio, ho notato che il carrello della mia azienda inserisce gli ID di sessione in un campo modulo nascosto (per l'azione Aggiungi al carrello), e se i cookie sono disattivati vengono aggiunti anche per interrogare le stringhe per tutti i collegamenti. Ho controllato una pagina google memorizzata nella cache e abbastanza sicuro che Google avesse memorizzato nella cache il proprio ID di sessione. Ho quindi afferrato quell'ID di sessione e visitato il carrello di Google - che era scaduto a quest'ora. Tuttavia, ovviamente non sono un fan di ciò che è possibile in primo luogo.
Su una nota correlata, quando ho incollato il primo link sopra, originariamente incluso? newreg = XXXXXXX (sembrava un ID di sessione di qualche tipo). Mi ero appena registrato per security.stackexchange.com e sono stato riportato a quell'URL. Forse non è un problema, ma ho pensato che fosse un bell'esempio casuale di come gli ID di sessione possano essere accidentalmente condivisi.