Mi empresa tiene una tienda web. Trabajamos con un socio que otorga cupones de descuento a nuestros clientes después de que compran (los cupones se pueden usar en otras tiendas en línea) y también entregan cupones para nuestra tienda a clientes de otras tiendas. Para este propósito, el socio nos solicita que les enviemos algunos datos sobre nuestros clientes y sus respectivos pedidos en nuestra página de pago completo. Quieren que hagamos esto configurando algunas variables de javascript e incluyendo un javascript de su servidor, que también mostrará un anuncio publicitario en nuestra página de pago completo.
Ya aprendí que incluir anuncios publicitarios conlleva cierto riesgo . Parece que nuestra empresa ya tomó la decisión de aceptar este riesgo para este socio.
Ahora estoy preocupado por un punto en particular. Los datos que el socio quiere que enviemos también incluyen la identificación de la sesión de nuestro cliente, para "reconocer solicitudes dobles", según el socio. Creo que no deberíamos enviar el ID de sesión real al socio, porque con esta información el socio podría falsificar la identidad del cliente en nuestro sitio. Por lo tanto, me gustaría enviar un hash de la ID de sesión en su lugar. Con esto, el socio aún debería poder reconocer solicitudes dobles sin poder falsificar la identidad del cliente.
¿Esto tiene sentido? ¿O el socio, por el hecho de que incluimos un javascript de su servidor, ya tiene formas de hacer más daño de lo que podría hacer al conocer el ID de sesión? Almacenamos la identificación de la sesión en una cookie HttpOnly (para la conexión entre nuestro servidor y nuestro cliente).
Si tiene sentido el hash del identificador de sesión, ¿qué función de hash sería una buena opción?