HTTP 세션 식별자 순환(인스턴스 보안 강화)
이 glide.ui.rotate_sessions 속성을 사용하여 HTTP 세션 식별자의 순환을 활성화하여 보안 취약성을 줄입니다.
인증되지 않은 사용자의 세션 ID가 인증 후에도 변경되지 않으면 웹 애플리케이션이 세션 고정 공격에 취약합니다. 악의적인 사용자가 인증되지 않은 세션을 시작하고 연결된 세션 ID를 피해자에게 제공할 수 있습니다. 피해자가 인증되면 악의적인 사용자는 이제 인증된 세션을 공유합니다.
추가 정보
| 속성 | 설명 |
|---|---|
| 속성 이름 | glide.ui.rotate_sessions |
| 구성 유형 | 시스템 속성(/sys_properties_list.do) |
| 인스턴스 보안 센터에서 구성 | 예 |
| 목적 | 보다 안전한 세션 인증을 달성하기 위해. |
| 권장 값 | 예 |
| 기능적 영향 | (중간) 이 정정은 사용자가 인증되지 않은 페이지에서 인증된 페이지로 이동할 때 SessionID를 수정했습니다.
|
| 보안 위험 | (늦게) SessionID는 브라우저에서 세션 상태를 유지관리하여 인스턴스 사용자를 처리하고 인증하는 데 사용됩니다. 따라서 SessionID는 중요한 데이터로 간주되며 기본적으로 안전해야 합니다. 세션 회전은 사용자가 인증되지 않은 페이지에서 인증된 페이지로 이동할 때마다 sessionID의 변경을 적용하는 보안 컨트롤입니다. |
| 참조 |
시스템 속성 추가 또는 생성에 대한 자세한 내용은 을 참조하십시오 Add a system property.