Qualcuno mi ha contattato per non aver assegnato un nuovo ID di sessione al login di successo.
Fondamentalmente mi è stato detto: il fatto che io usi lo stesso cookie (con lo stesso SID) nella pagina di accesso e la sessione autorizzata rimanente rende il mio sito Web vulnerabile alla risoluzione della sessione.
Prima di tutto, non capisco nemmeno il termine in questo caso: questo non ha nulla a che fare con la fissazione della sessione, vero? I miei SID vengono inviati avanti e indietro utilizzando i cookie HTML HttpOnly e Secure. La fissazione del significato chiamando un URL con un certo SID non si verifica nemmeno perché il mio sito web non utilizza SID URL.
Non potevo pensare a nessun altro modo in cui una sessione potesse essere impostata da un potenziale hacker per i suoi desideri. L'unico modo in cui poteva richiedere l'esecuzione di un JS dal mio dominio e richiederebbe che il dominio fosse vulnerabile all'XSS, giusto?
E poi di nuovo lego sempre un IP di richiesta in una sessione, il che significa che una volta che un IP di richiesta diverso da quello già associato alla sessione sta tentando di usare quella sessione, invaliderò questa sessione e cacciare l'utente.
Sono ignorante verso una certa circostanza qui o il suo sito web non è vulnerabile alla fissazione della sessione come richiesto? Ho cercato attraverso una buona quantità di esempi riguardo la fissazione della sessione e mi sento come se non avessi bisogno di intraprendere alcuna azione qui?