[ImoLUG] [OT] JSESSIONID e sicurezza applicazioni java

Riccardo Govoni ☢ battlehorse@gmail.com
Ven 21 Maggio 2010 12:58:18 CEST


Nota a: usare solo https, come propone Gianmarco, non basta. Tappa alcuni
buchi (e.g. sniffing), ma non l'esempio della paginetta specifica che ho
fatto (i cookie viaggiano anche se la destinazione e' https).

E ancora piu' offtopic ... per andare nel campo della privacy.
Nota che la logica che ho descritto sopra con cui i cookie vengono mandati
sempre in giro mentre navighi (non c'e' "Cross-origin policy" come c'e' per
le richiste Ajax), oltre ad essere usata per fini illeciti, e' anche quella
che (lecitamente) permette:

- a Google (e qualunque altro fornitore di annunci), di "seguire" i siti che
visiti che includono codice AdSense (le richieste di annunci che arrivano a
Google sono accompagnate dal tuo cookie)
- idem per il tracciamento della navigazione che qualunque sito di
statistiche per webserver offre (esempio StatCounter )
- a Facebook, tramite il malefico pulsante "Like" che hanno messo fuori di
recente e che ora trovi sparso un po' ovunque, di sapere quali siti visiti
anche se tu il pulsante non lo clicchi mai (perche' tanto nessuno clicca mai
"logout" da facebook, quindi il cookie di sessione e' sempre presente), da
cui il sollevamento generale contro Facebook che sta accadendo di recente.

Ma questo e' un altro discorso e sto andando veramente fuori dal seminato,
magari se ne riparla in separato thread.

/R.

2010/5/21 Mario Giammarco <mgiammarco@gmail.com>

>
>
> Il giorno 21 maggio 2010 12.26, virgilio pierini <
> virgilio.pierini@gmail.com> ha scritto:
>
> vi ringrazio per le interessanti risposte
>> riccardo propone una piattaforma che, se ho inteso bene, è relativamente
>> recente. la domanda è quindi immediata: ma prima come si faceva?
>>
>> cioè, la mia vecchia applicazione struts che, nel caso l'utente non avesse
>> i cockies abilitati, metteva il jsessionid nella get è SUL SERIO così bucata
>> da permettere ad un altro (il classico Mallory degli esempi wikipedia) di
>> copiarsi l'url e impersonare il Bob o Alice di turno ?
>>
>>
> Ehm, la risposta e' si?
>
> Uhm una risposta piu' dettagliata e' questa: se tu sei un utente vero che
> si collega col suo browser https direttamente all'applicazione dopo essersi
> autenticato tramite https non ci "dovrebbero" essere problemi di sicurezza.
> In fin dei conti la tua cara banca online fa cosi' e comunque attraverso
> https tu interagirai con la tua applicazione quindi manderai dei dati
> sensibili al server. Se un hacker cracca la tua sessione https fa prima a
> sniffare i dati sensibili direttamente mentre li immetti tu che a prendere
> il tuo jsessionid. Discorso diverso e' se tu apri la sessione https e poi
> lasci il tuo computer non presidiato. Allora si' io passo da li', copio e
> incollo il tuo jsessionid e finche' non scade la sessione ci lavoro dal mio
> browser a tuo nome! Direi che e' quasi un funzionamento "voluto" questo.
> Voglio cambiare browser.... copio e incollo l'url su firefox e continuo a
> lavorare
>
> Discorso (e caso d'uso) completamente differente come ha gia' spiegato
> benissimo Riccardo Govoni quindi non mi dilungo e' se devi fare interagire
> due applicazioni. Qui una volta o dovevi scrivere codice tuo di
> autenticazione/autorizzazione oppure ti appoggiavi al primo difficilissimo
> framework java jaas. Poi ne sono nati di piu' "facili" come acegi oppure
> oauth.
>
> Ma in realta' come dicevo prima il problema in Italia non si e' mai posto,
> visto che le decisioni nei progetti le prende chi non si intende di
> sicurezza e quindi ti posso assicurare che moltissimi progetti in java fatti
> in Italia in grosse banche e aziende NON sono sicuri. (Ne' compliant con
> specifiche java enterprise, ne' ne' ne' ne'......). Quindi NON basarti sui
> lavori d'altri ("questa cosa la fa tizio, quindi sara' sicura" non va bene)
>
>
>
>
>
>
>
> _______________________________________________
> ImoLUG mailing list
> imolug@lists.linux.it
> http://lists.linux.it/listinfo/imolug
> Connettivita' offerta da Waymedia - http://www.waymedia.it/
>
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/private/imolug/attachments/20100521/13f45d6a/attachment-0001.htm>


Maggiori informazioni sulla lista ImoLUG