Sicurezza di un sessionID memorizzato in un div nell'origine della pagina

0

Ho appena trovato un'applicazione web che sembra memorizza il mio sessionID attuale sotto forma di un elemento div , che non è visualizzato sulla pagina web.

Questo è un metodo strano, ma sinceramente non vedo un rischio reale per la sicurezza. Mi sto perdendo qualcosa? Questo metodo può essere considerato sicuro? Sono consapevole che i cookie configurati correttamente sono preferibili in quanto aumentano lo sforzo di rubare il sessionID tramite XSS.

    
posta Dolores The Third 16.10.2017 - 09:44
fonte

1 risposta

1

Se la sessione è archiviata in una variabile sulla pagina o all'interno di un cookie, rischiano gli stessi rischi. Detto questo, l'archiviazione di un sessionID sulla pagina è un metodo che è stato utilizzato molte volte. Per mitigare eventuali rischi con manomissioni degli ID di sessione, è sempre possibile garantire che vengano trasportati tramite il protocollo TLS.

    
risposta data 16.10.2017 - 10:06
fonte

Leggi altre domande sui tag