Ниже приведены дополнительные рекомендации по управлению сессиями от команды, разработавшей памятки OWASP[45].
• Идентификаторы сессии должны иметь длину не менее 128 символов.
• Идентификатор сессии должен быть непредсказуемым (рандомизированным) для предотвращения атак через угадывание. Используйте для этого общепризнанный генератор случайных чисел, а не пишите отдельный код. При каждом входе в учетную запись пользователь должен получать новый идентификатор сессии.
• Используйте встроенную функцию управления сессиями в платформе, если такая функция существует.
• Идентификатор сессии должен передаваться только по зашифрованным каналам.
• Сессия должна быть прервана после выхода пользователя из системы.
• Веб-приложения ни в коем случае не должны принимать не сгенерированный ими идентификатор сессии. Получение такого идентификатора обычно фиксируется и регистрируется как подозрительная активность, при этом создается соответствующее предупреждение, а IP-адрес, с которого он был отправлен, блокируется. Данная ситуация является угрозой безопасности.
• При аутентификации, повторной аутентификации или любом другом событии, которое изменяет уровень привилегий связанного с ним пользователя, создается новый идентификатор.
