«

»

Dec 12

Print this Post

Posso tornar meus tokens de session mais difíceis de se adivinhar?

Problema:

Quero tornar meus session tokens mais difíceis de se adivinhar e mais únicos.

Solução:

Na maioria das minhas aplicações Web, eu uso sessões em algum ponto para armazenar informações tais como login. Eu faço isso utilizando Session tokens de forma que o server possa identificar quem é quem.

Explicação detalhada:

Se voce alguma vez tiver olhado a session ID default, voce deve ter notado que é relativamente fácil de se adivinhar. Se voce estiver usando o gerenciamento default de sessões ColdFusion, é feito do nome da aplicação, CFID e CTOKEN. Isso cria uma única session ID aparte do nome da aplicação, são números somente, não letras ou caracteres especiais.

Há uma maneira muito simples de tornar o session ID mais difícil de se adivinhar, fazendo uso do Universally Unique Identifier (UUID) para CFTOKENS.

UUID cria uma string de 35 caracteres representando um único inteiro de 128 bits.

UUID creates a 35-character string representation of a unique 128-bit integer.

Quote:http://livedocs.adobe.com/coldfusion/7/htmldocs/wwhelp/wwhimpl/common/html/wwhelp.htm?context=ColdFusion_Documentation&file=00000436.htm

Para ativar UUID, vá ao administrador do ColdFusion e sob Setting, clique “Use UUID for cftoken”.

Simples, mais difícil de se adivinhar session IDs.
Esta é apenas uma maneira de ajudar a assegurar suas session ids e, de nenhuma forma a única maneira, mas está lá para se usar em CF Admin e muitos não modificam isso do default.

by Glyn Jackson
Versão em inglês: Adobe ColdFusion Cookbook

Permanent link to this article: http://ensina.me/coldfusion/posso-tornar-meus-tokens-de-session-mais-dificeis-de-se-adivinhar/

Leave a Reply