¿Cuál es el riesgo de poner datos semánticamente significativos en un identificador de sesión HTTP?

Navega tus respuestas
5

Actualmente estoy considerando la optimización del rendimiento y estoy considerando una forma de acelerar el manejo de sesiones basado en cookies. Hay ventajas en tener un identificador de sesión cuando no se hace referencia a los datos del lado del servidor. Estoy intentando calcular si es una buena idea adjuntar un indicador a la ID de sesión que muestre si hay datos del lado del servidor. Esto evitaría la necesidad de intentar recuperar datos no existentes en algunos casos, y podría extenderse aún más para otros casos simples (e, g, para diferenciar entre diferentes backends de almacenamiento de datos de sesión del lado del servidor).

por ejemplo la primera vez que un usuario accede a un sitio, obtiene un ID de sesión 'abc' y ... 

Set-Cookie: sessionid=0abc;  HttpOnly

Cuando se agregan datos a la sesión ... 

Set-cookie: sessionid=1abc; HttpOnly

Obviamente, la presencia / ausencia de datos del lado del servidor será evidente para un intruso. Y existe la posibilidad de que la cookie sea manipulada de tal manera que parezca estar asociada con los datos del lado del servidor, pero en este caso, lo peor que puede pasar es que se comporte de la misma manera que las sesiones actualmente. .

También tengo en cuenta que en la UE ahora debemos solicitar el consentimiento de los usuarios antes de eliminar cualquier cookie no crítica.

Además, ¡no estoy proponiendo utilizar identificadores de sesión de 3 letras! Aparte de un talón pequeño, el resto de la identificación de la sesión continuaría siguiendo las prácticas habituales de ser datos esencialmente aleatorios. Supongo que no se puede ganar nada al hacer esto al punto en que cambia el talón.

Pero, ¿alguien puede ver un problema que yo no veo?

    
pregunta symcbean 09.03.2013 - 00:50
fuente

1 respuesta

1

Si va a utilizar esto únicamente como una etiqueta de aceleración, no veo ninguna razón por la que no. Ha mencionado que consideraba la posibilidad de que estos datos de cookies se atenuaran, por lo que si ya está diseñando su identificación de usuario (cuando corresponda) teniendo en cuenta esta posibilidad, realmente no debería ser un problema de seguridad adicional.

En cuanto a esa "directiva de cookies" de la UE, aquí hay un resumen rápido de ella:

  

La ley exige que las empresas obtengan un "consentimiento explícito" antes de usar   o almacenar datos de manera que puedan considerarse "intrusivos".

IANAL se aplica, pero en mi libro se aplica un acelerador que no consume demasiado espacio / ancho de banda, ni “intrusivo”. "Identificando o ayudando a identificar al usuario de cualquier manera, realmente no entra en esta categoría de" paranoia de cookies ". En todo caso, está en beneficio del usuario final. Pero para estar seguro, debe consultar con el abogado de la empresa para la que está diseñando su solución, ya que ellos serán los responsables de cómo operan sus servicios. Deberá notificar a los usuarios el uso de cookies en el sitio web de todos modos ("este sitio web utiliza cookies ... bla, bla, bla ..."),

  

"Los Estados miembros garantizarán que el almacenamiento de información, o la   Obtención de acceso a información ya almacenada, en el terminal.   El equipo de un suscriptor o usuario solo está permitido a condición de que   el suscriptor o usuario en cuestión ha dado su consentimiento, habiendo   ha recibido información clara y completa ".

para que la notificación pueda apuntar a una página que describe cada valor de cookie. No es demasiado descriptivo para ser un problema de seguridad por sí solo, pero sí lo suficiente para ayudar a despejar la mente del usuario. Cualquier otro requisito relacionado con esta "ley de cookies" realmente depende de qué otras cookies estar utilizando y con qué propósito.

El único otro "problema" en el que puedo pensar es que debe tener en cuenta que los usuarios pueden habilitar / deshabilitar o incluso eliminar las cookies al azar y en cualquier etapa del uso de su sitio web (especialmente con todo lo que exige la ley advertencias que les recuerdan que deben ser más paranoicas de lo que vale o ser mentalmente sanas, y que este cambio por sí solo no debería presentar ningún problema con la forma en que funciona su código. En pocas palabras, nunca debes depender de los valores de las cookies y, más bien, considerarlos como "ayudantes", como sugeriste de todos modos.

    
respondido por el TildalWave 09.03.2013 - 06:34
fuente

Lea otras preguntas en las etiquetas

Conexión en el puerto 3387 El visor de eventos dice "autorizado" ¿Es seguro iniciar sesión en Google con la contraseña de la aplicación de escritorio como BlueStacks? [cerrado]