问题描述
|
我想知道,成功登录后重新生成会话ID是否真的是一种好习惯,而不仅是一种不道德的行为。
如果我正确地理解了该理论,那么它应该可以防止会话劫持(或者至少使它变得更难),但是我无法真正看到有人可以窃取登录前会话,那么该仿冒者将阻止钓鱼者再次这样做。 。
我不专注于Spring(我现在甚至不使用Java),我对正反感兴趣。
解决方法
重新生成以防止在登录前为http而登录后为https时阻止会话劫持。这就是阻止攻击者使用重新生成的副本再次进行的原因。
假设您靠近受害者或在某处的路径中或遭受钓鱼攻击,则窃取http会话的会话标识符相对容易,并且-如果此会话标识符在加密会话中也可行,则可能使攻击者\的工作很轻松。
,是。您应该在登录时重新生成会话,以帮助防御会话固定和登录CSRF。
有关更多信息,请参见OWASP的建议。