Raison de renommer ASP.NET session Nom du cookie?
https://stackoverflow.com/questions/1292449
-
18-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
est-il une raison (sécurité?) Pourquoi quelqu'un devrait renommage la session ASP.NET Nom du cookie ou est-ce juste une option insensée d'ASP.NET?
La solution
Si vous avez plusieurs applications en cours d'exécution dans le même domaine sur le même serveur, vous pouvez bien vouloir avoir séparés des noms de cookie de session pour chacun d'eux, afin qu'ils ne partagent pas le même état de session ou pire écraser encore l'autre.
Voir aussi les notes pour le Formulaires Auth nom de cookie :
Indique le cookie HTTP à utiliser pour l'authentification. Si plusieurs applications sont en cours d'exécution sur un seul serveur et chaque application nécessite un cookie unique, vous devez configurer le nom du cookie dans chaque fichier web.config pour chaque application.
Autres conseils
1) Il peut (légèrement) ralentir quelqu'un vers le bas qui est (en passant) à sa recherche.
2) Vous pouvez cacher le fait que vous exécutez ASP.NET
lien ci-dessous fournit plus d'informations. Raisons pour lesquelles les cookies de session devraient être rebaptisés
https://www.owasp.org/index.php/Session_Management_Cheat_Sheet
"Le nom utilisé par l'ID de session ne devrait pas être très descriptive, ni offrir des détails inutiles sur le but et la signification de l'ID.
Les noms des ID de session utilisés par les plus communs des cadres de développement d'applications web peuvent être facilement empreintes digitales [0], comme PHPSESSID (PHP), JSESSIONID (J2EE), CFID & CFTOKEN (ColdFusion), ASP.NET_SessionId (ASP .NET ), etc. par conséquent, le nom d'ID de session peut divulguer les technologies et langages de programmation utilisés par l'application Web.
Il est recommandé de modifier le nom d'ID de session par défaut du cadre de développement web à un nom générique, comme « id ». "
Je pense que surtout une question de goût. Certaines personnes / entreprises veulent contrôler tous les aspects de leurs applications Web et pourraient simplement utiliser un autre nom pour la cohérence avec les autres noms de cookies. Par exemple, si vous utilisez des noms de paramètres très courts d'un caractère tout au long de votre application, vous pouvez ne pas aimer les noms de cookie de session comme ASPSESSID.
raisons de sécurité pourraient appliquer, mais sécurité par l'obscurité est plutôt faible à mon avis.
