Lý do đổi tên ASP.NET Session Cookie Name?

Question

có bất kỳ lý do nào (an toàn không?) Tại sao một người nào đó nên đổi tên Tên phiên cookie ASP.NET hoặc nó chỉ là một tùy chọn vô nghĩa của ASP.NET?

Answer 1

Nếu bạn có nhiều ứng dụng chạy dưới cùng một tên miền trên cùng một máy chủ, bạn cũng có thể muốn có tên cookie phiên riêng biệt cho mỗi người, để họ không chia sẻ cùng một trạng thái phiên hoặc tệ hơn vẫn ghi đè lẫn nhau.

Xem thêm các ghi chú cho Forms Auth cookie name:

Chỉ định cookie để sử dụng để xác thực. Nếu nhiều ứng dụng đang chạy trên một máy chủ duy nhất và mỗi ứng dụng yêu cầu một cookie duy nhất, bạn phải cấu hình tên cookie trong mỗi tệp Web.config cho từng ứng dụng.

Answer 2

1) Có thể (hơi) làm chậm một người nào đó (ngẫu nhiên) đang tìm kiếm.

2) Bạn có thể muốn che giấu sự thật rằng bạn đang chạy ASP.NET

Answer 3

Tôi nghĩ chủ yếu là vấn đề về hương vị. Một số người/công ty muốn kiểm soát mọi khía cạnh của ứng dụng web của họ và có thể chỉ sử dụng tên khác cho sự nhất quán với các tên cookie khác. Ví dụ: nếu bạn sử dụng tên thông số một ký tự rất ngắn trong suốt ứng dụng của mình, bạn có thể không thích tên cookie phiên như ASPSESSID.

Lý do bảo mật có thể áp dụng nhưng security through obscurity khá yếu trong quan điểm của tôi.

Answer 4

Liên kết bên dưới cung cấp thêm thông tin về lý do cookie phiên nên được đổi tên.

https://www.owasp.org/index.php/Session_Management_Cheat_Sheet

"Cái tên được sử dụng bởi các ID phiên không nên cực kỳ mô tả cũng không cung cấp chi tiết không cần thiết về mục đích và ý nghĩa của ID. Tên ID

Buổi sử dụng bởi các ứng dụng web phổ biến nhất khung công tác phát triển có thể dễ dàng lấy dấu vân tay [0], chẳng hạn như PHPSESSID (PHP), JSESSIONID (J2EE), CFID & CFTOKEN (ColdFusion), ASP.NET_SessionId (ASP .NET), v.v. Do đó, tên ID phiên có thể tiết lộ công nghệ và ngôn ngữ lập trình được ứng dụng web sử dụng.

Bạn nên thay đổi tên ID phiên mặc định của khung phát triển web thành tên chung, chẳng hạn như "id". "