Actualmente estoy considerando la optimización del rendimiento y estoy considerando una forma de acelerar el manejo de sesiones basado en cookies. Hay ventajas en tener un identificador de sesión cuando no se hace referencia a los datos del lado del servidor. Estoy intentando calcular si es una buena idea adjuntar un indicador a la ID de sesión que muestre si hay datos del lado del servidor. Esto evitaría la necesidad de intentar recuperar datos no existentes en algunos casos, y podría extenderse aún más para otros casos simples (e, g, para diferenciar entre diferentes backends de almacenamiento de datos de sesión del lado del servidor).
por ejemplo la primera vez que un usuario accede a un sitio, obtiene un ID de sesión 'abc' y ...
Set-Cookie: sessionid=0abc; HttpOnly
Cuando se agregan datos a la sesión ...
Set-cookie: sessionid=1abc; HttpOnly
Obviamente, la presencia / ausencia de datos del lado del servidor será evidente para un intruso. Y existe la posibilidad de que la cookie sea manipulada de tal manera que parezca estar asociada con los datos del lado del servidor, pero en este caso, lo peor que puede pasar es que se comporte de la misma manera que las sesiones actualmente. .
También tengo en cuenta que en la UE ahora debemos solicitar el consentimiento de los usuarios antes de eliminar cualquier cookie no crítica.
Además, ¡no estoy proponiendo utilizar identificadores de sesión de 3 letras! Aparte de un talón pequeño, el resto de la identificación de la sesión continuaría siguiendo las prácticas habituales de ser datos esencialmente aleatorios. Supongo que no se puede ganar nada al hacer esto al punto en que cambia el talón.
Pero, ¿alguien puede ver un problema que yo no veo?