Dove sono i ticket di ripresa della sessione HTTPS / sessionIds memorizzati sul client?

Ciò che il client memorizza in realtà è l'insieme di parametri di sicurezza , la parte più importante dei quali è il master secret : questo è il valore segreto condiviso con il server, ottenuto da una precedente stretta di mano. L'ID sessione o il ticket di sessione è solo un valore utilizzato per fare riferimento a tale segreto principale (*).

Il master secret è molto sensibile (sapendo che consente di decrittografare tutti i dati della sessione ...), quindi il client dovrebbe essere particolarmente attento. In pratica, il client lo memorizza solo nella RAM; non lo troverai in nessun file e scompare quando il processo client viene terminato (la terminazione del processo, nel caso dei browser Web, equivale per lo più alla chiusura di tutte le finestre del browser). L'ID della sessione e i ticket vengono archiviati insieme al master secret, nella stessa postazione, poiché non hanno senso senza il master secret.

(Nei moderni browser Web, ci sono solitamente diversi processi, ma si parlano tra loro, quindi, per questa discussione, possono essere considerati insieme come "il processo del browser".)

Sul lato server, anche l'archiviazione basata su RAM è comune, ma alcuni server consentono l'archiviazione in un database o in qualche altro meccanismo in modo che il master secret possa essere condiviso tra più front-end. Questo è necessario per alcuni tipi di meccanismi di bilanciamento del carico. Naturalmente, scrivere il master secret su qualsiasi supporto fisico è una potenziale fonte di perdita, quindi questo tipo di gioco deve essere fatto solo con grande cura.

^{(*) Bene, il ticket di sessione è qualcosa di un po 'più complesso, ma il succo dell'idea rimane valido: per il client, il segreto principale è esterno del ticket di sessione.}