(creo) Entiendo por qué las identificaciones de sesión deben girarse cuando el usuario inicia sesión: este es un paso importante para evitar session fixation.¿La rotación de ID de sesión mejora la seguridad?
Sin embargo, ¿hay alguna ventaja en la rotación aleatoria/periódica de las ID de sesión?
Esto, en mi opinión, solo proporciona una falsa sensación de seguridad. Suponiendo que las ID de sesión no son vulnerables a la adivinación de la fuerza bruta y solo transmites la ID de la sesión en una cookie (no como parte de las URL), un atacante tendrá que acceder a tu cookie (probablemente husmeando en tu tráfico) para obtener tu ID de sesión. Por lo tanto, si el atacante obtiene una ID de sesión, probablemente también pueda oler la ID de la sesión girada, y por lo tanto la rotación aleatoria no ha mejorado la seguridad.
Creo que es necesario rotar el ID de sesión (SID) cuando es necesario iniciar sesión, incluso si está almacenado en una cookie. Considere esto: el atacante examina el sitio web en una computadora compartida y se le asigna un SID (pero no inicia sesión). Entonces el atacante se aleja. Si el siguiente usuario inicia sesión y el SID no se gira, entonces el atacante conoce el SID y puede usarlo para enmascararse como el usuario que inició sesión. * Este escenario es un poco rebuscado * (con suerte, la computadora compartida todavía tiene cuentas separadas), * pero es posible *. –
Lo que usted dice es una vulnerabilidad grave (piense en quioscos). Asumí que el sitio asigna una nueva ID de sesión al iniciar sesión. Por supuesto, debe asignar una nueva identificación de sesión al iniciar sesión. Y no, este ataque no es descabellado en absoluto. –
de acuerdo. (nota: mi comentario fue principalmente en respuesta a la primera oración en su respuesta) –