[SPRING] 로그인 후 세션 ID를 재생성하는 것이 좋습니다.
SPRING로그인 후 세션 ID를 재생성하는 것이 좋습니다.
성공적인 로그인 후에 세션 ID를 재생성하는 것이 정말 좋은 관행이지화물 숭배 행위의 일종이 아닌지 궁금합니다.
이론을 올바르게 이해하면 세션 하이재킹을 방지해야합니다 (또는 적어도 더 어렵게 만들 수는 있지만). 누군가가 사전 로그인 세션을 도용 할 수 있다면 피싱자가 재생성 된 세션을 다시 수행하는 것을 막을 수있는 것을 실제로 볼 수 없습니다.
나는 스프링에 초점을 맞추고 있지 않다 (나는 현재 자바를 사용하지도 않는다), 나는 찬반 양론에 관심이있다.
해결법
-
==============================
1.사전 로그인이 http이고 사후 로그인이 https 인 경우 세션 하이재킹을 방지하기 위해 다시 생성합니다. 그것이 재생 된 공격자가 다시 공격자를 공격하는 것을 막는 것입니다.
사전 로그인이 http이고 사후 로그인이 https 인 경우 세션 하이재킹을 방지하기 위해 다시 생성합니다. 그것이 재생 된 공격자가 다시 공격자를 공격하는 것을 막는 것입니다.
희생자 가까이에 있거나 경로 어딘가에 있거나 피싱 등으로 추정되는 HTTP 세션의 세션 식별자를 도용하는 것은 상대적으로 쉽습니다. 또한이 세션 식별자가 암호화 된 세션에서도 실행 가능하면 공격자의 작업을 수행 할 수 있습니다 꽤 쉬운.
-
==============================
2.예. 세션 고정 및 CSRF 로그인에 대한 방어를 위해 로그인시 세션을 재생성해야합니다.
예. 세션 고정 및 CSRF 로그인에 대한 방어를 위해 로그인시 세션을 재생성해야합니다.
자세한 내용은 OWASP의 권장 사항을 참조하십시오.
from https://stackoverflow.com/questions/6136240/is-regenerating-the-session-id-after-login-a-good-practice by cc-by-sa and MIT license
'SPRING' 카테고리의 다른 글
[SPRING] 스프링 통합 - 인바운드 대 아웃 바운드 채널 어댑터 (0) | 2019.03.26 |
---|---|
[SPRING] Spring 3 : @Async 주석이 달린 메소드를 TaskExecutor에서 호출하는 법 (0) | 2019.03.26 |
[SPRING] UTF-8 인코딩으로 RestTemplate에 POST 할 수있는 방법은 무엇입니까? (0) | 2019.03.26 |
[SPRING] 스프링 보안에서 AccessDeniedException을 처리하는 방법? (0) | 2019.03.26 |
[SPRING] 스프링 통합 또는 Apache HTTP 클라이언트 (0) | 2019.03.26 |