Grund ASP.NET Session Cookie-Namen zu umbenennen?
https://stackoverflow.com/questions/1292449
-
18-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
gibt es einen Grund (Sicherheit?), Warum jemand sollte Umbenennungs die ASP.NET Session-Cookie-Name oder ist es nur eine sinnlose Option von ASP.NET?
Lösung
Wenn Sie unter der gleichen Domain mehrere Anwendungen auf demselben Server ausgeführt wird, können Sie auch wollen separate Session-Cookie-Namen haben für jeden, so dass sie nicht teilen sich den gleichen Sitzungszustand oder schlimmer noch zu überschreiben einander.
Siehe auch Hinweise für die Forms Auth Cookie-Name :
Gibt den HTTP-Cookie für die Authentifizierung zu verwenden. Wenn mehrere Anwendungen auf einem einzigen Server ausgeführt wird und jede Anwendung erfordert ein eindeutiges Cookie, müssen Sie den Cookie-Namen in jeder Datei Web.config für jede Anwendung konfigurieren.
Andere Tipps
1) Es könnte (leicht) langsam jemand nach unten, wer (beiläufig) sucht es.
2) Sie möchten vielleicht die Tatsache verbergen, dass Sie ASP.NET ausgeführt
Im Folgenden Link liefert weitere Informationen darüber, warum Session-Cookies sollten umbenannt werden.
https://www.owasp.org/index.php/Session_Management_Cheat_Sheet
"Der Name der Sitzungs-ID verwendet wird, soll nicht sehr aussagekräftig sein, noch unnötigen Details bietet über den Zweck und die Bedeutung des ID.
Die Session-ID-Namen durch die gängigsten Web-Anwendung Entwicklungsrahmen verwendet wird, kann leicht Fingerabdrücke abgenommen werden [0], wie PHPSESSID (PHP), JSESSIONID (J2EE), CFID & CFTOKEN (Coldfusion), ASP.NET_SessionId (ASP .NET ) usw. Daher kann die Session-ID-Namen, die Technologien und Programmiersprachen verwendet die Web-Anwendung.
offen legenEs wird empfohlen, den Standard-Sitzungs-ID-Namen des Web-Entwicklungs-Framework zu einem generischen Namen, wie „id“ zu ändern. "
Ich denke, die in erster Linie eine Frage des Geschmacks. Manche Menschen / Unternehmen wollen jede Kontrolle Aspekt ihrer Web-Anwendungen und könnte nur einen anderen Namen für die Übereinstimmung mit anderen Cookie-Namen verwenden. wenn Sie sehr kurzen Verwenden Sie zum Beispiel eines Zeichen Parameternamen in Ihrer Anwendung, die Sie möglicherweise nicht Session-Cookie Namen wie ASPSESSID mögen.
Sicherheit Gründe zutreffen könnte aber Sicherheit durch Unklarheit ist eher schwach meiner Meinung nach.
