ID sessione nel primo client Ciao

1

È normale avere l'ID sessione nel primo client Hello, quindi il server lo preleva e accetta lo stesso ID sessione e lo utilizza in tutto il traffico TLS. Questo è il "Client o Browser" che indica quale ID sessione utilizzare e "Server" lo accetta. Questo è un comportamento con i miei siti web.

Perché lo fa?

È normale?

Ha dei rischi per la sicurezza?

    
posta Shan Jose 14.05.2018 - 16:04
fonte

1 risposta

1

Session ID in the first Client Hello, .... That is the "Client or Browser" tells what Session ID to use and "Server" accepts it.

Non è che il client abbia appena creato un nuovo ID di sessione e il server lo accetti. L'ID di sessione TLS e anche il ticket di sessione TLS che ha uno scopo simile sono inviati per la prima volta dal server al client.

Se in seguito il client invia l'ID di sessione o il ticket di sessione ricevuti in precedenza in un nuovo handshake TLS e il server ha ancora o può derivare le informazioni per questa sessione esistente, la sessione può essere ripresa e verrà eseguita solo una stretta di mano abbreviata .

Se invece i client inviano un id di sessione o un ticket di sessione che il server non può gestire (cioè non valido, scaduto ...), verrà ignorato dal server e verrà eseguito un handshake TLS completo.

    
risposta data 14.05.2018 - 17:31
fonte

Leggi altre domande sui tag