Передача идентификатора сеанса в качестве параметра строки запроса

Question

Существуют ли какие-либо меры безопасности / методы / соображения, когда, например, во время (длинного / непрерывного) опроса или обычных запросов между клиентами и сервером идентификатор сеанса отправляется / передается на сервер в виде параметра строки запроса вместо сохраненного значенияв cookie?

Я могу думать о перехвате или перехвате сеанса, когда кто-то украл этот идентификатор сеанса из строки запроса и использовал его, чтобы выдать себя за себя, но я думаю, что то же самое может произойти и со значением cookie (я думаю,это можно предотвратить только с помощью https).

Answer 1

При передаче токенов сеанса в виде URL-параметров вам необходимо обратить особое внимание на историю браузера и журналы сервера. Параметры URL обычно хранятся в обоих, а затем отображаются в виде открытого текста независимо от того, используете ли вы SSL.

Конечные пользователи могут также случайно открыть их, например, для копирования и вставки из браузера в Twitter.

Не похоже, что вы говорите о нормальном просмотре. Но если да, то использование URL-параметров настоятельно не рекомендуется.

Вы также упомянули опрос, но, по моему опыту, если файл cookie доступен, он отправляется вместе с запросом на опрос, устраняя необходимость его наличия в URL.

А для трафика с сервера на сервер все равно нужно беспокоиться о сохранении идентификаторов в журналах сервера.

Единственный аргумент, который я когда-либо слышал об использовании токенов сессии в URL, - это размещение пользователей, у которых отключены файлы cookie. Я предпочитаю притворяться, что таких пользователей не существует.

Answer 2

В дополнение к рискам, которые упоминает Джейсон, третий риск заключается в том, что токен сеанса может быть передан другим сайтам через заголовок Referer:Я бы не рекомендовал отправлять маркер сеанса в качестве параметра строки запроса.