Razón para cambiar el nombre de la sesión ASP.NET nombre de la cookie?
https://stackoverflow.com/questions/1292449
-
18-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
¿hay alguna razón (seguridad?) Por qué alguien debe Cambiar nombre de la sesión ASP.NET nombre de la cookie o es sólo una opción sin sentido de ASP.NET?
Solución
Si tiene varias aplicaciones que se ejecutan en el mismo dominio en el mismo servidor, es posible que también quieren tener nombres cookie de sesión separados para cada uno, por lo que no están compartiendo el mismo estado de la sesión o, peor aún sobrescriban entre sí.
Ver también las notas para el de autenticación de formularios nombre de la cookie :
Especifica la cookie HTTP a utilizar para la autenticación. Si se ejecutan múltiples aplicaciones en un único servidor y cada aplicación requiere una cookie única, debe configurar el nombre de la cookie en cada archivo Web.config de cada aplicación.
Otros consejos
1) Podría (ligeramente) más lento a alguien que está (casualmente) en busca de ella.
2) Es posible que desee ocultar el hecho de que está ejecutando ASP.NET
A continuación enlace proporciona más información acerca de por qué las cookies de sesión deben ser renombrados.
https://www.owasp.org/index.php/Session_Management_Cheat_Sheet
"El nombre utilizado por el identificador de sesión no debe ser muy descriptiva ni ofrecer detalles innecesarios sobre el propósito y el significado de la ID.
Los nombres de ID de sesión utilizados por los marcos de desarrollo de aplicaciones web más comunes pueden tomar las huellas digitales con facilidad [0], como PHPSESSID (PHP), JSESSIONID (J2EE), CFID y CFTOKEN (ColdFusion), ASP.NET_SessionId (ASP .NET ), etc. por lo tanto, el nombre de ID de sesión puede divulgar las tecnologías y los lenguajes de programación utilizados por la aplicación web.
Se recomienda cambiar el nombre de ID de sesión predeterminado del marco de desarrollo web a un nombre genérico, como “id” ".
Creo que es principalmente una cuestión de gusto. Algunas personas / empresas quieren controlar todos los aspectos de sus aplicaciones web y sólo podría utilizar otro nombre para la coherencia con otros nombres de cookies. Por ejemplo, si utiliza los nombres de parámetros muy cortas de un solo carácter a través de su aplicación que no pueden gustar Names cookie de sesión como ASPSESSID.
razones de seguridad podrían aplicarse, pero seguridad por oscuridad es bastante débil en mi opinión.
