关于StackOverflow上的会话固定有很多问题和答案,但是,我仍然对一件事感到困惑。人们经常建议在cookie中存储会话不足以克服会话固定问题,您应该在登录后轮换会话ID。我可以想象,如果您只使用会话ID来识别用户,您可能仍然容易受到攻击。但是,我想问一个具体案例。
假设您使用签名cookie来存储整个会话。登录时,您会在cookie中输入标识用户的ID。注销后,您将删除该ID。您不会更改会话ID,但是当您更改会话本身并进行签名时,我看不到利用此设计的任何攻击方案。会话固定仍然是一个问题,因此,在这种情况下仍然需要会话ID轮换?如果是,您能提供可以使用的攻击吗?谢谢。
答案 0 :(得分:1)
会话修复的基础是攻击者可能使受害者使用攻击者可以访问的会话。这通常是通过诱使受害者使用攻击者已知的某个会话ID并在身份验证后不会更改来完成的。
现在你所描述的并不像会话标识符,而是用户认证数据的简单客户端数据存储。
但是,如果你使cookie数据依赖于再次依赖于服务器签名的经过身份验证的用户的数据,它肯定会在身份验证后更改,并且攻击者不会知道。那么该方案的安全性取决于其实际实施。