再生会话ID是否有助于防止固定、劫持或两者兼而有之？

Question

如果说再生会话ID的策略仅仅是为了通过会话固定来防止会话劫持，这是真的吗？如果没有，那么重新生成id的帮助如何防止会话劫持？

This popular answer重命名为更改会话ID通常是因为：

..if攻击者确实劫持了一个会话，您不希望他们使用它太久。“

但是，如果攻击者已经劫持了一个会话，难道他们不会只接收新的会话ID吗？

Answer 1

这将是一种比赛条件。您将让2+用户共享相同的会话ID。在某个时候，您的代码决定重新生成ID，这将向其中一个用户发送新ID。如果攻击者运气好，而他们的“命中”就是获得重新生成的ID的on，那么他们将处于清除状态，并且现在可以完全控制该会话。

如果实际的用户获得重新生成的ID，那么攻击者现在将得到一个无效的会话ID，他们将不得不尝试劫持新重新生成的ID，然后重新启动。