Регенерация идентификатора сеанса после входа в систему - хорошая практика?

Question

Мне интересно, является ли регенерирование идентификатора сеанса после успешного входа в систему действительно хорошей практикой, а не просто своего рода поведением культа груза.

Если я правильно понимаю теорию, это должно предотвратить угон сеанса (или, по крайней мере, усложнить его), но я не могу понять, что если кто-то сможет украсть сеанс перед входом в систему, что остановит фишера, делающего это снова с восстановленный.

Я не концентрируюсь на Spring (сейчас я даже не использую Java), меня интересуют плюсы и минусы.

Answer 1

Да. Вы должны восстановить сеанс при входе в систему, чтобы помочь защитить от фиксации сеанса и входа CSRF .

Подробнее см. Рекомендация OWASP .

Answer 2

Вы перегенерируете, чтобы предотвратить перехват сеанса, когда предварительный вход в систему - http, а последующий вход - https. Вот что мешает атакующему сделать это снова с восстановленным.

Относительно легко украсть идентификатор сеанса для сеанса http, предполагая, что вы находитесь рядом с жертвой, или где-то на пути, или у вас есть фишинг и т.д. Работа злоумышленника довольно проста.