AWWW-1st3.6-w13.tresc-1.0-Slajd11

Z Studia Informatyczne
Wersja z dnia 09:31, 29 wrz 2006 autorstwa Juliusz Jezierski (dyskusja | edycje)
(różn.) ← poprzednia wersja | przejdź do aktualnej wersji (różn.) | następna wersja → (różn.)
Przejdź do nawigacjiPrzejdź do wyszukiwania

Przewidywalny identyfikator sesji

Przewidywalny identyfikator sesji


Zwykle identyfikator sesji jest generowany przez serwer aplikacji, niemniej jednak jeżeli odbywa się to przy użyciu niedbale zaimplementowanego algorytmu, to wzrasta poziomo zagrożenia aplikacji atakami typu "Przejęcie sesji". Identyfikator sesji powinien być generowany przez silny algorytm losowy tak, aby intruz nie mógł łatwo odgadnąć kolejnej wartości identyfikatora generowanego dla nowego użytkownika. Jednocześnie przestrzeń, czy też liczba możliwych kombinacji identyfikatorów powinna być tak duża, aby wykluczyć ataki brutalne polegające na testowaniu wszystkich możliwych kombinacji. Do złych praktyk generowania identyfikatorów sesji zalicza się m.in.: generowanie identyfikatorów sekwencyjnych, w których kolejna sesja otrzymuje wartość identyfikatora o jeden wyższą od poprzedniej sesji, generowanie identyfikatorów na podstawie nazwy użytkownika lub jego adresu IP np. za pomocą funkcji mieszającej, czy też generowanie identyfikatorów sesji, które nie tracą ważności po określonym czasie i mogą być ponownie wykorzystywane w przyszłości.


<< Poprzedni slajd | Spis treści | Następny slajd >>

Źródło: „https://wazniak.mimuw.edu.pl/index.php?title=AWWW-1st3.6-w13.tresc-1.0-Slajd11&oldid=58869