Sicurezza di un sessionID memorizzato in un div nell'origine della pagina

Naviga le tue risposte
0

Ho appena trovato un'applicazione web che sembra memorizza il mio sessionID attuale sotto forma di un elemento div , che non è visualizzato sulla pagina web.

Questo è un metodo strano, ma sinceramente non vedo un rischio reale per la sicurezza. Mi sto perdendo qualcosa? Questo metodo può essere considerato sicuro? Sono consapevole che i cookie configurati correttamente sono preferibili in quanto aumentano lo sforzo di rubare il sessionID tramite XSS.

    
posta Dolores The Third 16.10.2017 - 09:44
fonte

1 risposta

1

Se la sessione è archiviata in una variabile sulla pagina o all'interno di un cookie, rischiano gli stessi rischi. Detto questo, l'archiviazione di un sessionID sulla pagina è un metodo che è stato utilizzato molte volte. Per mitigare eventuali rischi con manomissioni degli ID di sessione, è sempre possibile garantire che vengano trasportati tramite il protocollo TLS.

    
risposta data 16.10.2017 - 10:06
fonte

Leggi altre domande sui tag

Quali file forniscono le informazioni più utili quando un utente malintenzionato sfrutta una vulnerabilità della memoria? Visualizzazione delle richieste SSL in forma non crittografata da un client remoto [chiuso]