Motivo per rinominare ASP.NET del cookie di sessione Nome?
https://stackoverflow.com/questions/1292449
-
18-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
v'è alcuna ragione (sicurezza?) Per cui qualcuno dovrebbe rename la sessione ASP.NET nome del cookie o è solo una scelta insensata di ASP.NET?
Soluzione
Se si dispone di più applicazioni in esecuzione sotto lo stesso dominio sullo stesso server, si può ben desidera avere nomi cookie di sessione separati per ognuno, in modo che non condividono lo stesso stato di sessione o peggio ancora di sovrascrivere l'altro.
Si vedano anche le note per il Moduli Auth nome del cookie :
Specifica il cookie HTTP da utilizzare per l'autenticazione. Se più applicazioni sono in esecuzione su un singolo server e ogni applicazione richiede un cookie unico, è necessario configurare il nome del cookie in ogni file web.config per ogni applicazione.
Altri suggerimenti
1) Si potrebbe (leggermente) rallentare giù qualcuno che è (casualmente) alla ricerca di esso.
2) Si potrebbe desiderare di nascondere il fatto che si esegue ASP.NET
Di seguito collegamento fornisce ulteriori informazioni sul motivo per cui i cookie di sessione dovrebbe essere rinominato.
https://www.owasp.org/index.php/Session_Management_Cheat_Sheet
"Il nome utilizzato dal ID di sessione non dovrebbe essere estremamente descrittivo né offrire dettagli inutili sullo scopo e il significato della ID.
I nomi ID di sessione utilizzati in quadri più comuni per lo sviluppo di applicazioni web possono essere facilmente le impronte digitali [0], come ad esempio PHPSESSID (PHP), JSESSIONID (J2EE), CFID & CFTOKEN (ColdFusion), ASP.NET_SessionId (ASP .NET ), ecc Pertanto, il nome della sessione ID può rivelare le tecnologie ei linguaggi di programmazione utilizzati dall'applicazione web.
Si consiglia di cambiare il nome ID di sessione predefinito del framework di sviluppo web a un nome generico, come “id”. "
Credo che la sua principalmente una questione di gusto. Alcune persone / aziende vogliono controllare ogni aspetto delle loro applicazioni web e potrebbe anche usare un altro nome per la coerenza con gli altri nomi dei cookie. Ad esempio, se si utilizzano i nomi dei parametri molto brevi di un carattere per tutta la vostra applicazione non si potrebbe come nomi cookie di sessione come ASPSESSID.
ragioni di sicurezza potrebbero essere applicate, ma sicurezza attraverso l'oscurità è piuttosto debole a mio parere.
