suneel kumar gupta Ответов: 1

Если использовать sessionstate cookieless="useuri", то что такое потоки безопасности ?


Я использую <sessionstate cookieless="UseUri"> В этом случае идентификатор сеанса добавляется вместе с url-адресом в строке запроса .

Я просто хочу знать ,будет ли идентификатор сеанса отображаться в url-адресе тогда-в чем проблема безопасности, правильно ли использовать вышеприведенный параметр для управления несколькими сеансами одного и того же приложения на вкладке нескольких браузеров.

Что я уже пробовал:

Я достиг нескольких сеансов в одном браузере на нескольких вкладках, используя нижеприведенную настройку--

<sessionstate cookieless="UseUri">

1 Ответов

Рейтинг:
2

MadMyche

Да, информация о сеансе отображается в адресной строке и может быть скопирована/вставлена в другую адресную строку.
Эта способность копировать/вставлять может рассматриваться как уязвимость системы безопасности, поскольку вы можете копировать/вставлять в электронную почту так же легко


suneel kumar gupta

Большое вам спасибо за ваш ответ. Да, я согласен , что, скопировав/вставив идентификатор сеанса в другую адресную строку, мы можем получить доступ к сеансу другого пользователя, но я думаю, что мы можем сделать это внутри одного браузера и одного устройства, а не в разных браузерах и устройствах.

MadMyche

Вы пробовали и подтвердили это?
Прочтите это: https://brockallen.com/2012/04/08/cookieless-session-considered-dangerous/

suneel kumar gupta

хорошо ,но как управлять сеансом для нескольких пользователей в нескольких вкладках в одном браузере?

MadMyche

На самом деле вы не можете сделать это программно мудро; это необоснованное ожидание ожидать безопасности, когда у вас есть два или более людей, использующих одну и ту же программу на одной и той же машине одновременно