¿Qué beneficios de seguridad ofrecerían los nombres de cookie aleatorios en un sitio web? ¿Cuáles son algunos de los desafíos que crearía?
No creo que gane mucho, ya que aún estarían asociados con el sitio, o con algún subdominio del mismo.
En cuanto a las desventajas, tendría que hacer una búsqueda para averiguar cuál es el nombre de una cookie en particular para que pueda saber dónde se pueden encontrar los datos que almacenó anteriormente.
Creo que es mejor que no se preocupe por eso, y en su lugar, asegúrese de que solo almacene un identificador único para que pueda saber quién es, proporcione la seguridad adecuada para mantener a otros fuera de su cuenta y almacene a todos los demás usuarios. datos relacionados internamente en su propia base de datos back-end.
El único aspecto positivo de la aleatorización de los nombres de las cookies es si tiene motivos para creer que una cookie determinada puede ser anulada por diferentes cookies con el mismo nombre.
Por ejemplo, varias instancias de la misma aplicación en un único servidor web. O, alojamiento compartido, nunca se sabe lo que pondrá otra persona ...
Pero, a continuación, hay mejores soluciones, como llevar la cookie a la ruta específica ... Todo lo demás es solo seguridad por oscuridad.
Y el inconveniente, es como lo señaló @Greg.
Podría imaginar cómo los nombres aleatorios de las cookies podrían evitar los ataques de las Cookies de dominio relacionadas
Una posible solución es cuando el nombre de la cookie es un valor de hash correspondiente al nombre de usuario, etc. y actúa como un MAC contra este tipo de ataque. En otras palabras, los nombres de las cookies con un nombre / hash no válido se descartarán
Ejemplo
normalcookieName_SomeHashedValueBasedOnSessionID
Lea otras preguntas en las etiquetas web-application appsec cookies session-management