Насколько важны сессии без печенья?Должна ли среда веб-приложений обеспечивать их поддержку?

Question

Мы программируем новую платформу веб-приложений ( Second WAF ).Мне было интересно, должны ли мы поддерживать сеансы без печенья или нет.

Кто использует это и кому это нужно?

Answer 1

Мне было интересно, должны ли мы поддерживать сеансы без файлов cookie или нет.

Я думаю, что это во многом зависит от вашей пользовательской базы.В моей организации мы поддерживаем несколько приложений для внутренней сети.Мы также контролируем рабочие столы наших пользователей.Так как мы контролируем среду их рабочего стола, мы можем контролировать настройки браузера и гарантировать, что куки включены.Из-за этого и повышенного риска перехвата сеансов у нас нет оснований разрешать сеансы без файлов cookie.

Кто его использует и кому он нужен?

Те, кому необходимо поддерживать сеансы независимо от настроек браузера конечных пользователей, должны будут реализовывать сеансы без файлов cookie;помня о последствиях этого.

Answer 2

Это хорошая функция, но необходимо учитывать несколько аспектов

• . Что если URL-адрес, содержащий идентификатор сеанса, кэшируется веб-пауком, таким как Google, вы сможете предоставитьсодержимое, если идентификатор в сеансе отличается от идентификатора, указанного в URL-адресе
• security.Если вы не реализуете его достаточно умно, пользователи смогут отправить URL-адрес другому пользователю, где URL-адрес содержит идентификатор сеанса и, следовательно, позволяет захватить сеанс первого пользователя.Например, в ASP.Net1.1 механизм сеанса без файлов cookie считался уязвимым