OWASP Envisagez de régénérer une nouvelle session en cas d'authentification réussie ou de changement de niveau de privilège

Question

Sur le site Web OWASP, l'un de leurs dix premiers éléments indique que nous devrions envisager de régénérer une nouvelle session en cas d'authentification réussie ou de changement de niveau de privilège.

Quelle serait la bonne façon de procéder? Une chose qu'un collègue m'a dit, mais je n'ai pas testé, c'est que lorsqu'un utilisateur utilise les onglets du navigateur, chaque onglet n'obtient pas sa propre session, donc je pense que cela annulerait tout l'exercice.

Merci, Paul Speranza

Answer 1

Selon la langue que vous utilisez, vous pouvez tout simplement appeler quelque chose comme session.invalidate(), puis rediriger ce qui créerait une nouvelle session.