Tomcat ofrece una configuración sessionIdLength para que sea configurable, pero al aumentar la identificación de la sesión aumenta su seguridad o su seguridad solo a través de la oscuridad
Tomcat ofrece una configuración sessionIdLength para que sea configurable, pero al aumentar la identificación de la sesión aumenta su seguridad o su seguridad solo a través de la oscuridad
Aumenta la dificultad de los identificadores de sesión de adivinación por fuerza bruta. Esto solo aumenta la seguridad en general si la adivinación de la sesión es un ataque realista.
El valor predeterminado de 16
(128 bits) es bastante estándar en los marcos web y ya hace muy difícil adivinar la fuerza bruta. Consulte la justificación de OWASP para esta extensión.
A menos que tenga condiciones que sean diferentes de la aplicación web promedio (por ejemplo, si tiene un número S muy grande de sesiones adivinables activas simultáneamente), es poco probable que obtenga algún beneficio al aumentar la duración de la ID de sesión más allá de 128 bits.
(Por otro lado, tampoco te cuesta mucho.)
Lea otras preguntas en las etiquetas session-management