Причина переименования ASP.NET Имя файла cookie сеанса?
https://stackoverflow.com/questions/1292449
-
18-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
есть ли какая-либо причина (безопасность?) почему кто-то должен переименовать имя файла cookie сеанса ASP.NET или это просто бессмысленный вариант ASP.NET?
Решение
Если у вас есть несколько приложений, работающих в одном домене на одном сервере, вы вполне можете захотеть иметь отдельные имена файлов cookie сеанса для каждого из них, чтобы они не совместно использовали одно и то же состояние сеанса или, что еще хуже, не перезаписывали друг друга.
Смотрите также примечания к Формирует аутентифицирующее имя файла cookie:
Указывает HTTP-файл cookie, используемый для аутентификации.Если на одном сервере запущено несколько приложений и каждому приложению требуется уникальный файл cookie, вы должны настроить имя файла cookie в каждом файле Web.config для каждого приложения.
Другие советы
1) Это может (немного) замедлить кого-то, кто (случайно) ищет это.
2) Возможно, вы захотите скрыть тот факт, что вы работаете ASP.NET
Приведенная ниже ссылка содержит более подробную информацию о том, почему сессионные файлы cookie следует переименовать.
https://www.owasp.org/index.php/Session_Management_Cheat_Sheet
"Имя, используемое идентификатором сеанса, не должно быть чрезмерно описательным или предлагать ненужные подробности о назначении и значении идентификатора.
Имена идентификаторов сеансов, используемые наиболее распространенными платформами разработки веб-приложений, можно легко идентифицировать по отпечатку пальца [0], например PHPSESSID (PHP), JSESSIONID (J2EE), CFID & CFTOKEN (ColdFusion), ASP.NET_SessionId (ASP .NET) и т.д.Следовательно, имя идентификатора сеанса может раскрывать технологии и языки программирования, используемые веб-приложением.
Рекомендуется изменить имя идентификатора сеанса по умолчанию платформы веб-разработки на общее имя, такое как “id”."
Я думаю, что это в основном вопрос вкуса.Некоторые люди / компании хотят контролировать каждый аспект своих веб-приложений и могут просто использовать другое имя для согласованности с другими названиями файлов cookie.Например, если вы используете очень короткие односимвольные имена параметров во всем своем приложении, вам могут не понравиться названия файлов cookie сеанса, такие как ASPSESSID.
Могут применяться соображения безопасности, но безопасность через неизвестность на мой взгляд, довольно слаб.
