Modification de l'ID de session après la connexion

Question

Mon application Web n'est accessible qu'aux utilisateurs authentifiés. Avant de se connecter, l'utilisateur ne peut voir la page principale qu'avec un bouton pour se connecter. L'application attribue un ID de session sur la page principale, l'authentification est gérée par une autre application.

Après la connexion et le retour à mon application, l'utilisateur a toujours le même ID de session. Cependant, il sera modifié après la déconnexion.

OWASP ASVS indique que l'ID de session doit être modifié lors de la connexion, mais je ne vois pas clairement pourquoi il est nécessaire pour cette situation? Faut-il le changer?

Henry F · Accepted Answer

La raison pour laquelle il est préférable de changer les ID de session lors de la connexion est due à des vulnérabilités potentielles de l'homme du milieu. Si un attaquant capture votre ID de session, il peut l'utiliser pour se faire passer pour l'utilisateur légitime. C'est ce qu'on appelle une vulnérabilité de fixation de session. La modification des ID de session à chaque connexion aidera à prévenir cette vulnérabilité, car l'ID de session précédent sera considéré comme non valide et l'attaquant ne pourra plus l'utiliser pour s'authentifier.

Références:

https://www.owasp.org/index.php/Session_fixation https://www.owasp.org/index.php/Session_hijacking_attack

Références:

https://www.owasp.org/index.php/Session_fixation https://www.owasp.org/index.php/Session_hijacking_attack