Estoy revisando nuevamente la administración de sesión de un sitio y actualmente renueva el ID de sesión del cliente en cada actualización de página. La idea es que si se la roban directamente del navegador, hay menos posibilidades de que la sesión sea secuestrada.
Aunque esto no parece tener sentido. Si es posible que algún tipo de malware o vulnerabilidad del navegador genere un identificador de sesión para un pirata informático, entonces deberían poder secuestrar esa sesión sin importar la nueva sesión que se cree cada vez, ya que "llegarán primero". .
Por lo que puedo decir, simplemente no hay manera de resolver ese tipo de problemas centrándose en el token de la sesión en sí, sino que la información de perfil de otros usuarios es más confiable. Y, por supuesto, solicitar la contraseña para cambios críticos.
Entonces, ¿hay algún punto en absoluto para crear un nuevo token de sesión para cada carga de página, parece un poco inútil y una pérdida de recursos? De hecho, si se crean tantos ID, habrá una mayor probabilidad de adivinar una sesión al azar.
¿No sería aceptable cambiar el token de sesión durante una sesión o debería renovarse cada par de minutos?