会话ID轮换是否增强了安全性？

(我认为)我理解为什么在用户登录时应该轮换会话ID - 这是防止会话固定的一个重要步骤.

但是,随机/周期性地转动会话ID是否有任何优势？

在我看来,这似乎只是提供了一种虚假的安全感.假设会话ID不容易受到强力猜测,并且您只在cookie中传输会话ID(而不是URL的一部分),那么攻击者必须访问您的cookie(最有可能通过窥探您的流量)来获取会话ID.因此,如果攻击者获得一个会话ID,他们也可能能够嗅探轮换的会话ID - 因此随机旋转并没有增强安全性.

1> L̲̳o̲̳̳n̲̳̳g..：

---

如果您使用存储在Cookie中的会话标识符,则会话固定不是问题.我浏览了你粘贴的文件,我看到使用DNS和XSS来拥有用户这一点,这显然比会话固定要大得多(更不用说,分开)了.如果你有一个存储在cookie中的会话标识符(具有可接受的熵级别),则没有合理的理由来轮换它.轮换它的唯一原因是因为它可以通过其他方式猜测或易受攻击,在这种情况下,用户无论如何都会被拥有.

---

我认为在登录时转动会话ID(SID)是必要的,即使它存储在cookie中也是如此.考虑一下:攻击者在共享计算机上浏览网站并获得SID(但不登录).然后攻击者走开了.如果下一个用户然后登录并且SID没有旋转,则攻击者知道SID并且可以使用它伪装成登录的用户.*这种情况有点牵强*(希望共享计算机仍然有单独的帐户),*但可能*.

---

你所说的是一个严重的漏洞(想想亭子).我假设网站在登录时分配了新的会话ID.当然,您应该在登录时分配新的会话ID.不,这种攻击根本不是牵强附会的.