(मुझे लगता है) मैं समझता हूं कि जब उपयोगकर्ता लॉग इन करता है तो सत्र आईडी को घुमाया जाना चाहिए - session fixation को रोकने के लिए यह एक महत्वपूर्ण कदम है।क्या सत्र आईडी रोटेशन सुरक्षा को बढ़ाता है?
हालांकि, क्या यादृच्छिक रूप से/आवधिक रूप से घूर्णन सत्र आईडी के लिए कोई फायदा है?
ऐसा लगता है कि मेरी राय में केवल सुरक्षा की झूठी भावना प्रदान की जाती है। मान लीजिए सत्र आईडी ब्रूट-फोर्स अनुमान लगाने के लिए कमजोर नहीं हैं और आप केवल कुकी में सत्र आईडी (यूआरएल के हिस्से के रूप में नहीं) को प्रेषित करते हैं, फिर एक हमलावर को आपकी कुकी (संभवतः आपके यातायात पर स्नूपिंग करके) तक पहुंच प्राप्त करनी होगी सत्र आईडी। इस प्रकार यदि हमलावर को एक सत्र आईडी मिलती है, तो वे शायद घुमावदार सत्र आईडी को भी छीनने में सक्षम होंगे - और इस प्रकार यादृच्छिक रूप से घूर्णन में सुरक्षा में वृद्धि नहीं हुई है।
मुझे लगता है कि लॉग इन करते समय सत्र आईडी (एसआईडी) घूर्णन करना आवश्यक है भले ही यह कुकी में संग्रहीत हो। इस पर विचार करें: हमलावर एक साझा कंप्यूटर पर वेबसाइट ब्राउज़ करता है और एक एसआईडी असाइन किया जाता है (लेकिन लॉगिन नहीं करता है)। फिर हमलावर दूर चला जाता है। यदि अगला उपयोगकर्ता लॉग इन करता है और एसआईडी घुमाया नहीं जाता है, तो हमलावर एसआईडी जानता है और इसे लॉग इन करने वाले उपयोगकर्ता के रूप में मास्कराइड करने के लिए इसका उपयोग कर सकता है। * यह परिदृश्य थोड़ा दूर है * (उम्मीद है कि साझा कंप्यूटर अभी भी अलग खाते हैं), * लेकिन संभव *। –
आपने जो कहा वह एक गंभीर भेद्यता है (सोचो कियोस्क)। मुझे लगता है कि साइट लॉगिन पर एक नया सत्र आईडी असाइन कर रही है। बेशक, आपको लॉगिन पर एक नया सत्र आईडी असाइन करना चाहिए। और नहीं, यह हमला बिल्कुल दूर नहीं है। –
सहमत हुए। (नोट: मेरी टिप्पणी मुख्य रूप से आपके उत्तर में पहली वाक्य के जवाब में थी) –