[ImoLUG] [OT] JSESSIONID e sicurezza applicazioni java

Mario Giammarco mgiammarco@gmail.com
Ven 21 Maggio 2010 10:30:17 CEST


Il giorno 21 maggio 2010 09.58, valerio balbi <valerio.balbi@gmail.com> ha
scritto:

> > Mi è stato risposto, dal referente dello sviluppo, che "il riconoscimento
> di
> > una sessione basato su cookie/header HTTP è il funzionamento standard
> delle
> > web application" solo che non mi ha convinto del tutto e chiedo a voi
> lumi:
> > siamo sicuri che vada bene così?
>
>
Come consulente java ti posso dire che in molte grosse aziende il concetto
di "programmazione sicura" e' nullo.
Il project manager o l'analista non hanno competenze di sicurezza, non le
vogliono avere, e ritengono che quello che fanno
loro sia sicuro "a priori", visto che, fra l'altro, hanno sicuramente
copiato quella soluzione da qualcun altro (senza comprenderla) e, in ogni
caso, quegli attacchi come il "replay attack" accadono solo nei film, sono
cose per fissati e comunque non capitano a loro e tu  in nessun caso gli
farai perdere tempo a rifare le stime per il progetto perche' devi
aggiungere "la sicurezza".

Chiuso lo sfogo (che comunque e' utie perche' fa capire i meccanismi
psicologici e non tecnici che avvengono all'interno di un progetto in
aziende reali quando occorre prendere decisioni tecniche importanti)
sicuramente una cosa cosi' ha una parvenza di sicurezza solo con HTTPS.

L'ultima versione di pentaho supporta un meccanismo di autenticazione java
chiamato acegi, che sta diventando uno standard di fatto per java. La
soluzione piu' corretta e' quella di vedere se tale framework puo' essere
utilizzato nel vostro caso.
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/private/imolug/attachments/20100521/d20bb4dc/attachment.htm>


Maggiori informazioni sulla lista ImoLUG