[SPRING] 로그인 후 세션 ID를 재생성하는 것이 좋습니다.

로그인 후 세션 ID를 재생성하는 것이 좋습니다.

성공적인 로그인 후에 세션 ID를 재생성하는 것이 정말 좋은 관행이지화물 숭배 행위의 일종이 아닌지 궁금합니다.

이론을 올바르게 이해하면 세션 하이재킹을 방지해야합니다 (또는 적어도 더 어렵게 만들 수는 있지만). 누군가가 사전 로그인 세션을 도용 할 수 있다면 피싱자가 재생성 된 세션을 다시 수행하는 것을 막을 수있는 것을 실제로 볼 수 없습니다.

나는 스프링에 초점을 맞추고 있지 않다 (나는 현재 자바를 사용하지도 않는다), 나는 찬반 양론에 관심이있다.

해결법

1. ==============================

   1.사전 로그인이 http이고 사후 로그인이 https 인 경우 세션 하이재킹을 방지하기 위해 다시 생성합니다. 그것이 재생 된 공격자가 다시 공격자를 공격하는 것을 막는 것입니다.

   사전 로그인이 http이고 사후 로그인이 https 인 경우 세션 하이재킹을 방지하기 위해 다시 생성합니다. 그것이 재생 된 공격자가 다시 공격자를 공격하는 것을 막는 것입니다.

   희생자 가까이에 있거나 경로 어딘가에 있거나 피싱 등으로 추정되는 HTTP 세션의 세션 식별자를 도용하는 것은 상대적으로 쉽습니다. 또한이 세션 식별자가 암호화 된 세션에서도 실행 가능하면 공격자의 작업을 수행 할 수 있습니다 꽤 쉬운.

2. ==============================

   2.예. 세션 고정 및 CSRF 로그인에 대한 방어를 위해 로그인시 세션을 재생성해야합니다.

   예. 세션 고정 및 CSRF 로그인에 대한 방어를 위해 로그인시 세션을 재생성해야합니다.

   자세한 내용은 OWASP의 권장 사항을 참조하십시오.

from https://stackoverflow.com/questions/6136240/is-regenerating-the-session-id-after-login-a-good-practice by cc-by-sa and MIT license