8
क्या कोई कारण है (सुरक्षा?) किसी को का नाम बदलना चाहिए ASP.NET सत्र कुकी नाम या क्या यह एएसपी.NET का एक बेवकूफ विकल्प है?एएसपी.NET सत्र कुकी नाम का नाम बदलने का कारण?
A
उत्तर
13
आप कई अनुप्रयोगों एक ही सर्वर पर एक ही डोमेन के तहत चल रहा है, तो आप अच्छी तरह से करने के लिए अलग सत्र कुकी नाम है कर सकते हैं छिपाने के लिए चाहते हो सकता है प्रत्येक एक, ताकि वे एक ही सत्र स्थिति साझा नहीं कर रहे हों या फिर भी एक दूसरे को ओवरराइट कर रहे हों।
Forms Auth cookie name के लिए भी नोट्स देखें:
प्रमाणीकरण के लिए उपयोग करने के लिए HTTP कुकी निर्दिष्ट करता है। यदि एक सर्वर पर एकाधिक एप्लिकेशन चल रहे हैं और प्रत्येक एप्लिकेशन को एक अद्वितीय कुकी की आवश्यकता होती है, तो आपको प्रत्येक एप्लिकेशन के लिए प्रत्येक Web.config फ़ाइल में कुकी नाम को कॉन्फ़िगर करना होगा।
2
1) यह (धीमे) किसी को धीमा कर सकता है जो (आकस्मिक रूप से) ढूंढ रहा है।
2) आप तथ्य यह है कि आप ASP.NET
चल रहे हैं+4
2) सच हो सकता है, लेकिन एएसपी.नेट के लिए पहला उपहार प्रस्तुत किया गया मार्कअप और आईडी मैंगलिंग –
+0
एएसपी.नेट के लिए अतिरिक्त देनदारियों में सामान्य फ़ाइल एक्सटेंशन जैसे .aspx, .asmx, .axd ; आईआईएस से प्रतिक्रिया शीर्षलेख एक्स-पावर्ड-द्वारा: एएसपी.नेट। अधिक संक्षेप में, सत्र-लॉकिंग व्यवहार होता है जिससे एक सत्र-उपयोग अनुरोध दूसरे से शुरू होने से पहले पूरा होना चाहिए। –
0
मुझे लगता है कि यह मुख्य रूप से स्वाद का विषय है। कुछ लोग/कंपनियां अपने वेब ऐप्स के हर पहलू को नियंत्रित करना चाहती हैं और अन्य कुकी नामों के साथ स्थिरता के लिए बस एक और नाम का उपयोग कर सकती हैं। उदाहरण के लिए, यदि आप अपने ऐप में बहुत कम एक-वर्ण पैरामीटर नामों का उपयोग करते हैं तो आपको सत्र कुकी नाम जैसे ASPSESSID पसंद नहीं हो सकता है।
सुरक्षा कारण लागू हो सकते हैं लेकिन security through obscurity मेरी राय में कमजोर है।
1
लिंक नीचे सत्र कुकीज़ का नाम बदलने के बारे में अधिक जानकारी प्रदान करता है।
https://www.owasp.org/index.php/Session_Management_Cheat_Sheet
"सत्र आईडी के आधार पर उपयोग किया गया नाम बहुत वर्णनात्मक नहीं हो और न ही उद्देश्य और आईडी के अर्थ के बारे अनावश्यक विवरण पेशकश करनी चाहिए।
सत्र ID सबसे आम वेब एप्लिकेशन द्वारा किया गया नाम विकास ढांचे को आसानी से फिंगरप्रिंट किया जा सकता है [0], जैसे कि PHPSESSID (PHP), JSESSIONID (J2EE), CFID & CFTOKEN (ColdFusion), ASP.NET_SessionId (ASP .NET) इत्यादि। इसलिए, सत्र आईडी नाम तकनीकों का खुलासा कर सकता है और वेब अनुप्रयोग द्वारा उपयोग की जाने वाली प्रोग्रामिंग भाषाएं।
वेब विकास ढांचे के डिफ़ॉल्ट सत्र आईडी नाम को सामान्य नाम, जैसे "आईडी" में बदलने की अनुशंसा की जाती है। "
मैं एक एएसपी.NET विशेषज्ञ नहीं हूं, लेकिन क्या वह उसी डोमेन के अंतर्गत एकाधिक ऐप्स का उपयोग करते समय कुकी 'पथ' पैरामीटर सेट करता है? –
@ फ़र्डिनेंड बेयर - ऐसा हो सकता है, लेकिन सत्र स्थिति कॉन्फ़िगरेशन पर "पथ" या यहां तक कि "डोमेन" विशेषता नहीं है - ध्यान दें कि फॉर्म ऑथ कुकी पथ नोट्स कहते हैं "डिफ़ॉल्ट एक स्लैश (/) है, क्योंकि अधिकांश ब्राउज़र केस-संवेदी होते हैं और यदि कोई पथ केस मेल नहीं है, तो कुकीज वापस नहीं भेजे जाएंगे। " आप खुद को दर्द की संभावित दुनिया में खोल रहे हैं। –
प्रपत्र प्रमाणीकरण कुकी नाम सत्र कुकी नाम के समान नहीं है (बाद वाला आमतौर पर एएसपी कहा जाता है।NET_ सत्र ID और रूपों/लॉगिन कुकी नाम से स्वतंत्र रूप से बदला जा सकता है) –