Question

Я тестирую веб-сайт с одинаковым идентификатором сеанса asp.net для всех пользователей и сеансов. Существует еще один cookie-файл FedAuth, который является уникальным. Но делает ли это более безопасным использование одного и того же идентификатора сессии asp.net на борту?

Спасибо

Oleg Bondarenko · Answer 1 · 03 июня 2019

Один и тот же идентификатор сеанса asp.net для всех пользователей и сеансов может быть причиной уязвимости безопасности, как и перехват сеанса:

https://en.wikipedia.org/wiki/Session_hijacking

Полезная статья для управления сессиями.

https://www.owasp.org/index.php/Top_10_2013-A2-Broken_Authentication_and_Session_Management

Идентификатор сессии может быть украден и использован для атаки на вашу систему. Хранилище сессий всегда должно исчезать после выхода пользователя из системы. Файл cookie FedAuth позволяет вам определить ваших пользователей, но один и тот же сеанс для всех из них не является безопасным подходом. Вместо этого вы можете использовать хранилище приложений для этих целей.

Один и тот же идентификатор сессии asp.net для всех пользователей и сессий

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Один и тот же идентификатор сессии asp.net для всех пользователей и сессий

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы