asp.net 세션 쿠키 이름을 바꾸는 이유?

Question

어떤 이유가 있습니까 (안전?) 왜 누군가가 이름 바꾸기 ASP.NET 세션 쿠키 이름입니까 아니면 ASP.NET의 무의미한 옵션입니까?

Answer 1

동일한 서버에서 동일한 도메인에서 몇 가지 응용 프로그램이 실행중인 경우 각각의 쿠키 이름에 대해 별도의 세션 쿠키 이름을 갖기를 원할 수도 있으므로 동일한 세션 상태를 공유하지 않거나 서로를 덮어 쓰는 것이 더 나빠질 수 있습니다.

또한 메모를 참조하십시오 인증 쿠키 이름을 형성합니다:

인증에 사용할 HTTP 쿠키를 지정합니다. 여러 응용 프로그램이 단일 서버에서 실행 중이며 각 응용 프로그램에는 고유 한 쿠키가 필요한 경우 각 응용 프로그램의 각 web.config 파일에서 쿠키 이름을 구성해야합니다.

Answer 2

1) (우연히) 그것을 찾는 사람을 느리게 느리게 할 수 있습니다.

2) asp.net을 실행하고 있다는 사실을 숨길 수 있습니다.

Answer 3

아래 링크는 세션 쿠키 이름을 바꿔야하는 이유에 대한 자세한 정보를 제공합니다.

https://www.owasp.org/index.php/session_management_cheat_sheet

"세션 ID가 사용하는 이름은 매우 설명 적이거나 ID의 목적과 의미에 대한 불필요한 세부 사항을 제공해서는 안됩니다.

가장 일반적인 웹 애플리케이션 개발 프레임 워크에서 사용하는 세션 ID 이름은 PhpsSessid (PHP), JSSESSION (JSSESSIONID), CFID & CFTOKE (ColdFusion), ASP.NET_SESSIONID (ASP .NET) 등과 같은 지문을 쉽게 지문으로 인쇄 할 수 있습니다 [0]. 따라서 세션 ID 이름은 웹 응용 프로그램에서 사용하는 기술 및 프로그래밍 언어를 공개 할 수 있습니다.

웹 개발 프레임 워크의 기본 세션 ID 이름을 "ID"와 같은 일반 이름으로 변경하는 것이 좋습니다.

Answer 4

나는 주로 맛의 문제라고 생각합니다. 일부 사람들/회사는 웹 앱의 모든 측면을 제어하기를 원하며 다른 쿠키 이름과 일관성을 위해 다른 이름을 사용할 수 있습니다. 예를 들어, 앱 전체에서 매우 짧은 1 차 매개 변수 이름을 사용하는 경우 aspsessid와 같은 세션 쿠키 이름이 마음에 들지 않을 수 있습니다.

보안상의 이유가 적용될 수 있습니다 모호함을 통한 보안 제 생각에는 다소 약합니다.