ASP.NETセッションCookie名の名前を変更する理由は?
-
18-09-2019 - |
質問
何らかの理由(安全?)なぜ誰かがの名前の変更のはずASP.NETセッションCookieの名前がありますか、それは、ASP.NETの単なる無意味なオプションです?
解決
あなたが同じサーバー上の同じドメインの下で実行されているいくつかのアプリケーションを持っている場合は、あなたも彼らは同じセッション状態を共有するか、さらに悪いことに、互いを上書きしないように、それぞれに対して別々のセッションクッキー名を持っている場合があります。
認証に使用するHTTPクッキーを指定します。複数のアプリケーションを単一のサーバー上で実行されている各アプリケーションは、独自のクッキーを必要とする場合は、アプリケーションごとに各Web.configファイルでクッキー名を設定する必要があります。
他のヒント
1)これは、(少し)(何気なく)、それを探している誰かが遅くなるかもしれません。
2)あなたはASP.NETを実行しているという事実を隠したいかもしれません。
リンクの下のセッションクッキーの名前を変更しなければならない理由についての詳細な情報を提供しています。
https://www.owasp.org/index.php/Session_Management_Cheat_Sheetする
「セッションIDが使用する名前は、非常にわかりやすいこともIDの目的と意義について、不必要な詳細情報を提供してはいけません。
最も一般的なWebアプリケーション開発フレームワークによって使用されるセッションIDの名前は容易にフィンガープリントすることができる[0]、そのようなPHPSESSID(PHP)、JSESSIONID(J2EE)、CFIDおよびCFTOKEN(ColdFusionの)、ASP.NET_SessionId(ASP .NETなど)、等したがって、セッションID名は、Webアプリケーションで使用される技術およびプログラミング言語を開示することができます。
これは、このような「ID」として、一般名にWeb開発フレームワークのデフォルトのセッションIDの名前を変更することをお勧めします。 "
私は味のその主な問題だと思います。一部の人々は/企業がWebアプリケーションのあらゆる側面を制御したいとちょうど他のCookie名との整合性のために別の名前を使用する場合があります。アプリ全体で非常に短い1文字のパラメータ名を使用している場合たとえば、あなたはASPSESSIDのようなセッションクッキーの名前を好きではないかもしれません。
セキュリティ上の理由が適用される場合がありますが、あいまいを通じ、セキュリティは私の意見ではかなり弱いです。