L'aumento dell'ID di sessione tomcat aumenta la sicurezza

1

Tomcat fornisce una configurazione sessionIdLength per essere configurabile, ma aumentando l'ID della sessione aumenta la sua sicurezza o la sua sola sicurezza attraverso l'oscurità

    
posta Novice User 11.03.2014 - 09:22
fonte

1 risposta

2

Aumenta la difficoltà degli identificatori di sessione di forza bruta. Questo aumenta solo la sicurezza in generale se l'ipotesi di sessione è un attacco realistico.

Il valore predefinito di 16 (128 bit) è piuttosto standard in tutti i framework web e rende già molto difficile l'ipotesi della forza bruta. Vedi la giustificazione di OWASP per questa lunghezza.

A meno che tu non abbia condizioni diverse dall'app web media (ad esempio se hai un numero S molto grande di sessioni indovinate simultaneamente attive), è improbabile che tu possa trarre beneficio dall'aumentare la lunghezza dell'ID di sessione oltre 128 bit.

(D'altra parte, non ti costa neanche molto.)

    
risposta data 11.03.2014 - 13:14
fonte

Leggi altre domande sui tag