[ImoLUG] [OT] JSESSIONID e sicurezza applicazioni java

virgilio pierini virgilio.pierini@gmail.com
Ven 21 Maggio 2010 09:44:56 CEST


Ciao, sto integrando un prodotto open source (Pentaho) in un'applicazione
custom j2ee
Per implementare un meccanismo di login trasparente all'end user mi è stato
proposto un handshake in cui viene scambiato il jsessionid come parametro
GET di richieste http effettuate dal client
Questo vuol dire che "qualcuno" potrebbe intercettare tale sessionid (ad
esempio perchè si usa http e non https) e utilizzarlo per un reply attack
http://it.wikipedia.org/wiki/Replay_attack

Mi è stato risposto, dal referente dello sviluppo, che "il riconoscimento di
una sessione basato su cookie/header HTTP è il funzionamento standard delle
web application" solo che non mi ha convinto del tutto e chiedo a voi lumi:
siamo sicuri che vada bene così?

Il caso è analogo ad una applicazione web in cui il client non supporta i
cookies. Se ricordo bene negli url compare in chiaro il JSESSIONID
Quindi se io prendo tale url e lo copio su un altro browser di un altro pc
(che magari esce nattato quindi con lo stesso ip del primo) mi ricollego
alla stessa sessione?
=8-0

grazie per l'aiuto
virgilio
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/private/imolug/attachments/20100521/5e98373e/attachment.htm>


Maggiori informazioni sulla lista ImoLUG