Razão para mudar o nome da sessão ASP.NET Nome biscoito?
-
18-09-2019 - |
Pergunta
há alguma razão (segurança?) Porque alguém deve Renomear do ASP.NET Session nome de cookie ou é apenas uma opção sem sentido de ASP.NET?
Solução
Se você tem vários aplicativos em execução sob o mesmo domínio no mesmo servidor, você pode muito bem querer têm nomes de cookies de sessão separados para cada um, para que eles não estão compartilhando o mesmo estado de sessão ou, pior ainda substituir o outro.
Veja também as notas para a Formulários Auth nome do cookie :
Especifica o cookie HTTP a ser usado para autenticação. Se vários aplicativos estiverem em execução em um único servidor e cada aplicação requer um cookie exclusivo, você deve configurar o nome de cookie em cada arquivo Web.config para cada aplicação.
Outras dicas
1) Poderia (ligeiramente) alguém desaceleração que está (casualmente) olhando para ele.
2) Você pode querer esconder o fato de que você está executando ASP.NET
Abaixo link fornece mais informações sobre por cookies de sessão deve ser renomeado.
https://www.owasp.org/index.php/Session_Management_Cheat_Sheet
"O nome utilizado pelo ID da sessão não deve ser extremamente descritiva nem oferecer detalhes desnecessários sobre o propósito e significado da ID.
Os nomes de identificação de sessão utilizados pelos maioria dos frameworks de desenvolvimento de aplicações web comuns podem ser facilmente impressões digitais [0], como PHPSESSID (PHP), JSESSIONID (J2EE), CFID & CFTOKEN (ColdFusion), ASP.NET_SessionId (ASP .NET ), etc. Portanto, o nome da sessão ID pode divulgar as tecnologias e linguagens de programação utilizados pela aplicação web.
É recomendado alterar o nome ID de sessão padrão do framework de desenvolvimento web para um nome genérico, como “id” ".
Eu acho que é principalmente uma questão de gosto. Algumas pessoas / empresas querem controlar cada aspecto de suas aplicações web e pode apenas usar um outro nome para a consistência com outros nomes de cookies. Por exemplo, se você usar nomes de parâmetro muito curtos de um caractere em todo o seu aplicativo, você pode não gostar nomes do cookie da sessão como ASPSESSID.
razões de segurança podem aplicar, mas segurança pela obscuridade é bastante fraca na minha opinião.