Tomcat fornisce una configurazione sessionIdLength per essere configurabile, ma aumentando l'ID della sessione aumenta la sua sicurezza o la sua sola sicurezza attraverso l'oscurità
Tomcat fornisce una configurazione sessionIdLength per essere configurabile, ma aumentando l'ID della sessione aumenta la sua sicurezza o la sua sola sicurezza attraverso l'oscurità
Aumenta la difficoltà degli identificatori di sessione di forza bruta. Questo aumenta solo la sicurezza in generale se l'ipotesi di sessione è un attacco realistico.
Il valore predefinito di 16
(128 bit) è piuttosto standard in tutti i framework web e rende già molto difficile l'ipotesi della forza bruta. Vedi la giustificazione di OWASP per questa lunghezza.
A meno che tu non abbia condizioni diverse dall'app web media (ad esempio se hai un numero S molto grande di sessioni indovinate simultaneamente attive), è improbabile che tu possa trarre beneficio dall'aumentare la lunghezza dell'ID di sessione oltre 128 bit.
(D'altra parte, non ti costa neanche molto.)
Leggi altre domande sui tag session-management