Насколько важны безжизненные сеансы? Должна ли поддержка веб-приложений поддерживать их?

Мы программируем новую инфраструктуру веб-приложений (Second WAF). Мне было интересно, следует ли нам поддерживать сеансы cookieless или нет.

Кто его использует и кому он нужен?

2 ответа

Мне было интересно, следует ли нам поддерживать cookieless сессий или нет.

Я думаю, что это во многом зависит от вашей пользовательской базы. В моей организации мы поддерживаем несколько приложений интрасети. Мы также контролируем наши настольные ПК. Поскольку мы контролируем среду рабочего стола, мы можем управлять настройками браузера и обеспечивать, чтобы файлы cookie были включены. Из-за этого и повышенного риска захвата сеанса нет никаких оснований для того, чтобы мы никогда не разрешали сеансы cookieless.

Кто его использует и кому он нужен?

Те, кто должен поддерживать сеансы независимо от настроек браузера конечных пользователей, должны будут использовать cookieless-сессии; имея в виду последствия этого.


Это хорошая функция, но необходимо учитывать несколько аспектов.

  • что, если URL-адрес, содержащий идентификатор сеанса, кэшируется веб-пауком, например Google, вы сможете предоставить контент, если идентификатор в сеансе отличается от идентификатора, указанного в URL-адресе.
  • безопасность. Если вы не реализуете его достаточно разумно, пользователи смогут отправлять URL-адрес другому пользователю, где URL-адрес содержит идентификатор сеанса и, следовательно, позволяет захватить первый пользовательский сеанс. Например, в ASP.Net1.1 механизм cookieless session считался уязвимым

licensed under cc by-sa 3.0 with attribution.