¿Es una buena idea aleatorizar los nombres de las cookies?

5

¿Qué beneficios de seguridad ofrecerían los nombres de cookie aleatorios en un sitio web? ¿Cuáles son algunos de los desafíos que crearía?

    
pregunta Moshe 21.11.2010 - 01:45
fuente

3 respuestas

9

No creo que gane mucho, ya que aún estarían asociados con el sitio, o con algún subdominio del mismo.

En cuanto a las desventajas, tendría que hacer una búsqueda para averiguar cuál es el nombre de una cookie en particular para que pueda saber dónde se pueden encontrar los datos que almacenó anteriormente.

Creo que es mejor que no se preocupe por eso, y en su lugar, asegúrese de que solo almacene un identificador único para que pueda saber quién es, proporcione la seguridad adecuada para mantener a otros fuera de su cuenta y almacene a todos los demás usuarios. datos relacionados internamente en su propia base de datos back-end.

    
respondido por el Greg 21.11.2010 - 02:07
fuente
4

El único aspecto positivo de la aleatorización de los nombres de las cookies es si tiene motivos para creer que una cookie determinada puede ser anulada por diferentes cookies con el mismo nombre.
Por ejemplo, varias instancias de la misma aplicación en un único servidor web. O, alojamiento compartido, nunca se sabe lo que pondrá otra persona ...

Pero, a continuación, hay mejores soluciones, como llevar la cookie a la ruta específica ... Todo lo demás es solo seguridad por oscuridad.

Y el inconveniente, es como lo señaló @Greg.

    
respondido por el AviD 21.11.2010 - 12:39
fuente
1

Podría imaginar cómo los nombres aleatorios de las cookies podrían evitar los ataques de las Cookies de dominio relacionadas

¿Qué ataques de cookies son posibles entre computadoras en dominios DNS relacionados (* .example.com)?

Una posible solución es cuando el nombre de la cookie es un valor de hash correspondiente al nombre de usuario, etc. y actúa como un MAC contra este tipo de ataque. En otras palabras, los nombres de las cookies con un nombre / hash no válido se descartarán

Ejemplo

normalcookieName_SomeHashedValueBasedOnSessionID
    
respondido por el random65537 10.02.2013 - 16:13
fuente

Lea otras preguntas en las etiquetas