En el protocolo de enlace SSL, el servidor comparte el SessionId en el mensaje Hello del servidor y, como todavía no hay cifrado, ¿alguien puede capturarlo?
¿Es arriesgado?
En el protocolo de enlace SSL, el servidor comparte el SessionId en el mensaje Hello del servidor y, como todavía no hay cifrado, ¿alguien puede capturarlo?
¿Es arriesgado?
Esto no es riesgoso.
La sesión en ServerHello hace referencia a una sesión TLS establecida previamente que el cliente puede elegir para reanudar.
Esto permite omitir los apretones de manos repetidos, pero con solo el ID de sesión, un atacante no puede hacer mucho.
Incluso si el atacante hubiera sido testigo del apretón de manos que ahora se omite, sabrían los parámetros de configuración (ya que son los mismos) de la sesión, pero no las claves efímeras que se intercambiaron durante el último saludo, ya que su transmisión fue seguro en primer lugar (suponiendo que TLS se utilizó en la versión correcta y con la configuración correcta).
El malentendido puede provenir del uso múltiple de „sesión“: en TLS, hay sesiones, y en HTTP (S), también hay sesiones, a veces. Sin embargo, el ID de sesión en ServerHello no es una cookie de sesión HTTP (S). Son cosas completamente diferentes.
Una sesión TLS no tiene nada que ver con la sesión que puede saber de "secuestro de sesión http".
Lea otras preguntas en las etiquetas tls