Seguridad de un sessionID almacenado en un div en la fuente de la página

0

Acabo de encontrar una aplicación web que parece almacenar mi actual sessionID en forma de un elemento div , que no se muestra en la página web.

Este es un método extraño, pero para ser honesto, no veo un riesgo real de seguridad allí. ¿Me estoy perdiendo de algo? ¿Puede este método ser considerado como seguro? Entiendo que las cookies configuradas correctamente son preferibles ya que aumentan el esfuerzo para robar el ID de sesión a través de XSS.

    
pregunta Dolores The Third 16.10.2017 - 09:44
fuente

1 respuesta

1

Si la sesión se almacena en una variable en la página o dentro de una cookie, corren los mismos riesgos. Dicho esto, almacenar un ID de sesión en la página es un método que se ha utilizado muchas veces. Para mitigar cualquier riesgo de manipulación de identificadores de sesión, siempre puede asegurarse de que se transporten a través del protocolo TLS.

    
respondido por el ISMSDEV 16.10.2017 - 10:06
fuente

Lea otras preguntas en las etiquetas