Razão para mudar o nome da sessão ASP.NET Nome biscoito?

StackOverflow https://stackoverflow.com/questions/1292449

  •  18-09-2019
  •  | 
  •  

Pergunta

há alguma razão (segurança?) Porque alguém deve Renomear do ASP.NET Session nome de cookie ou é apenas uma opção sem sentido de ASP.NET?

Foi útil?

Solução

Se você tem vários aplicativos em execução sob o mesmo domínio no mesmo servidor, você pode muito bem querer têm nomes de cookies de sessão separados para cada um, para que eles não estão compartilhando o mesmo estado de sessão ou, pior ainda substituir o outro.

Veja também as notas para a Formulários Auth nome do cookie :

Especifica o cookie HTTP a ser usado para autenticação. Se vários aplicativos estiverem em execução em um único servidor e cada aplicação requer um cookie exclusivo, você deve configurar o nome de cookie em cada arquivo Web.config para cada aplicação.

Outras dicas

1) Poderia (ligeiramente) alguém desaceleração que está (casualmente) olhando para ele.

2) Você pode querer esconder o fato de que você está executando ASP.NET

Abaixo link fornece mais informações sobre por cookies de sessão deve ser renomeado.

https://www.owasp.org/index.php/Session_Management_Cheat_Sheet

"O nome utilizado pelo ID da sessão não deve ser extremamente descritiva nem oferecer detalhes desnecessários sobre o propósito e significado da ID.

Os nomes de identificação de sessão utilizados pelos maioria dos frameworks de desenvolvimento de aplicações web comuns podem ser facilmente impressões digitais [0], como PHPSESSID (PHP), JSESSIONID (J2EE), CFID & CFTOKEN (ColdFusion), ASP.NET_SessionId (ASP .NET ), etc. Portanto, o nome da sessão ID pode divulgar as tecnologias e linguagens de programação utilizados pela aplicação web.

É recomendado alterar o nome ID de sessão padrão do framework de desenvolvimento web para um nome genérico, como “id” ".

Eu acho que é principalmente uma questão de gosto. Algumas pessoas / empresas querem controlar cada aspecto de suas aplicações web e pode apenas usar um outro nome para a consistência com outros nomes de cookies. Por exemplo, se você usar nomes de parâmetro muito curtos de um caractere em todo o seu aplicativo, você pode não gostar nomes do cookie da sessão como ASPSESSID.

razões de segurança podem aplicar, mas segurança pela obscuridade é bastante fraca na minha opinião.

Licenciado em: CC-BY-SA com atribuição
Não afiliado a StackOverflow
scroll top