it-swarm-es.com

¿Es una buena idea aleatorizar los nombres de galletas?

¿Qué beneficios de seguridad aleatorizando los nombres de cookies en una oferta de sitio web? ¿Cuáles son algunos de los desafíos que crearía?

5
Moshe

No creo que gane mucho ya que todavía se asociarían con el sitio, o algún subdominio de él.

En cuanto a las desventajas, tendría que buscar alguna búsqueda para descubrir cuál es el nombre de una cookie en particular, puede saber dónde se puede encontrar los datos que almacenó anteriormente.

Creo que está mejor que no te preocupes por eso, y en su lugar, asegúrate de guardar solo un identificador único para que pueda saber quién es, proporcionar seguridad adecuada para mantener a otros de su cuenta, y almacenar todos los demás datos relacionados con el usuario internamente en su propia base de datos de back-end.

9
Greg

Podría imaginar cómo aleatorizar los nombres de las cookies podrían prevenir los ataques de cookies de dominio relacionados

¿Qué ataques de cookies son posibles entre las computadoras en los dominios DNS relacionados (* .example.com)?

Una solución posible es donde el nombre de la cookie es un valor hash correspondiente al nombre de usuario, etc. y actúa como una Mac contra este tipo de ataque. En otras palabras, los nombres de galletas con un nombre/hash no válido serían descartados

Ejemplo

normalcookieName_SomeHashedValueBasedOnSessionID
1
goodguys_activate