web-dev-qa-db-ja.com

クッキー名をランダム化するのは良い考えですか?

WebサイトでCookie名をランダム化するとどのようなセキュリティ上の利点がありますか?それが生み出すであろう課題のいくつかは何ですか?

5
Moshe

彼らはまだサイト、またはそのサブドメインに関連付けられているので、私はあなたが多くを得るとは思わない。

欠点としては、特定のCookieの名前を把握するために検索を行う必要があります。これにより、以前に保存したデータがどこにあるかを知ることができます。

心配しないほうがいいと思います。代わりに、一意の識別子のみを保存して、それが誰であるかを識別し、他のユーザーをアカウントに入れないように適切なセキュリティを提供し、他のすべてのユーザー関連データを内部に保存するようにしてください独自のバックエンドデータベースで。

9
Greg

Cookie名をランダム化することの唯一の利点は、特定のCookieが同じ名前の異なるCookieによって上書きされる可能性があると考える理由がある場合です。
たとえば、単一のウェブサーバー上の同じアプリの複数のインスタンス。または、共有ホスティング-他の誰かが何を入れるかはわかりません...

ただし、Cookieを特定のパスにスコープするなど、より良い解決策があります。それ以外はすべて、隠すことによるセキュリティです。

そして欠点は、@ Gregが指摘したとおりです。

4
AviD

Cookie名をランダム化することで、関連ドメインのCookie攻撃をどのように防ぐことができるかを想像できます。

関連するDNSドメイン(* .example.com)内のコンピューター間でどのようなCookie攻撃が発生する可能性がありますか?

考えられる解決策の1つは、Cookie名がユーザー名などに対応するハッシュ値であり、このタイプの攻撃に対するMACとして機能する場合です。つまり、無効な名前/ハッシュを持つCookie名は破棄されます

normalcookieName_SomeHashedValueBasedOnSessionID
1