在用于日志记录的会话令牌中嵌入(连接)用户ID是否具有任何安全含义?
在用于日志记录的会话令牌中嵌入(连接)用户ID是否具有任何安全含义?
提问于 2019-02-26 15:17:15
假设有一个ID为123456的用户登录到一个web应用程序中,其中存储在cookie中的随机生成的会话标识符看起来类似于这个123456zXRL9DWpPtaAhkPzhemQZE5P5F (即以用户ID ******zXRL9DWpPtaAhkPzhemQZE5P5F作为前缀),那么潜在的安全含义是什么?
这将在系统、web服务器、代理等的各个跳中生成用户可识别的访问日志,而无需想出传递用户ID的方案。
谢谢
回答 1
Security用户
发布于 2019-02-26 16:36:35
它可能会产生潜在的严重影响。如果用户身份验证进程使用该用户ID,攻击者可以执行DOS攻击,发送错误的身份验证数据并锁定用户ID帐户。
如果用户ID与用户个人信息(例如匿名)不直接一致,则不视为个人数据。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/204313
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号