(я думаю) Я понимаю, почему идентификаторы сеансов должны вращаться при входе пользователя в систему - это один важный шаг для предотвращения session fixation.Повышает ли безопасность идентификатора сеанса?
Однако существует ли какое-либо преимущество для случайного/периодического вращения идентификаторов сеансов?
Это, по моему мнению, обеспечивает ложное чувство безопасности. Предполагая, что идентификаторы сеанса не уязвимы для угадывания грубой силы, и вы передаете только идентификатор сеанса в cookie (не как часть URL-адресов), тогда злоумышленник должен получить доступ к вашему файлу cookie (скорее всего, отслеживая ваш трафик), чтобы получить ваш идентификатор сессии. Таким образом, если злоумышленник получает один идентификатор сеанса, он, вероятно, также сможет обнюхать и повернутый идентификатор сеанса - и, таким образом, случайное вращение не улучшило безопасность.
Я думаю, что поворот идентификатора сеанса (SID) при входе в систему необходим, даже если он хранится в файле cookie. Рассмотрим это: злоумышленник просматривает веб-сайт на общем компьютере и получает назначенный SID (но не входит в систему). Затем атакующий уходит. Если следующий пользователь затем войдет в систему и SID не будет повернут, злоумышленник знает SID и может использовать его для маскировки как пользователь, который вошел в систему. * Этот сценарий немного надуманный * (надеюсь, что общий компьютер все еще имеет отдельные учетные записи), * но возможно *. –
То, что вы сказали, является серьезной уязвимостью (думаю, киоски). Я предполагал, что сайт назначает новый идентификатор сеанса при входе в систему. Конечно, вы должны назначить новый идентификатор сеанса при входе в систему. И нет, эта атака вовсе не надуманна. –
Согласовано. (примечание: мой комментарий был главным образом в ответ на первое предложение в вашем ответе) –