[ImoLUG] [OT] JSESSIONID e sicurezza applicazioni java

Mario Giammarco mgiammarco@gmail.com
Ven 21 Maggio 2010 12:48:51 CEST


Il giorno 21 maggio 2010 12.26, virgilio pierini <virgilio.pierini@gmail.com
> ha scritto:

> vi ringrazio per le interessanti risposte
> riccardo propone una piattaforma che, se ho inteso bene, è relativamente
> recente. la domanda è quindi immediata: ma prima come si faceva?
>
> cioè, la mia vecchia applicazione struts che, nel caso l'utente non avesse
> i cockies abilitati, metteva il jsessionid nella get è SUL SERIO così bucata
> da permettere ad un altro (il classico Mallory degli esempi wikipedia) di
> copiarsi l'url e impersonare il Bob o Alice di turno ?
>
>
Ehm, la risposta e' si?

Uhm una risposta piu' dettagliata e' questa: se tu sei un utente vero che si
collega col suo browser https direttamente all'applicazione dopo essersi
autenticato tramite https non ci "dovrebbero" essere problemi di sicurezza.
In fin dei conti la tua cara banca online fa cosi' e comunque attraverso
https tu interagirai con la tua applicazione quindi manderai dei dati
sensibili al server. Se un hacker cracca la tua sessione https fa prima a
sniffare i dati sensibili direttamente mentre li immetti tu che a prendere
il tuo jsessionid. Discorso diverso e' se tu apri la sessione https e poi
lasci il tuo computer non presidiato. Allora si' io passo da li', copio e
incollo il tuo jsessionid e finche' non scade la sessione ci lavoro dal mio
browser a tuo nome! Direi che e' quasi un funzionamento "voluto" questo.
Voglio cambiare browser.... copio e incollo l'url su firefox e continuo a
lavorare

Discorso (e caso d'uso) completamente differente come ha gia' spiegato
benissimo Riccardo Govoni quindi non mi dilungo e' se devi fare interagire
due applicazioni. Qui una volta o dovevi scrivere codice tuo di
autenticazione/autorizzazione oppure ti appoggiavi al primo difficilissimo
framework java jaas. Poi ne sono nati di piu' "facili" come acegi oppure
oauth.

Ma in realta' come dicevo prima il problema in Italia non si e' mai posto,
visto che le decisioni nei progetti le prende chi non si intende di
sicurezza e quindi ti posso assicurare che moltissimi progetti in java fatti
in Italia in grosse banche e aziende NON sono sicuri. (Ne' compliant con
specifiche java enterprise, ne' ne' ne' ne'......). Quindi NON basarti sui
lavori d'altri ("questa cosa la fa tizio, quindi sara' sicura" non va bene)
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/private/imolug/attachments/20100521/d308cff9/attachment.htm>


Maggiori informazioni sulla lista ImoLUG