[ImoLUG] [OT] JSESSIONID e sicurezza applicazioni java
virgilio pierini
virgilio.pierini@gmail.com
Ven 21 Maggio 2010 13:43:01 CEST
approfondiamo un attimo il discorso del double submit cookies
il protocollo di handshake che devo implementare (e che è pensato per "n"
applicazioni integrate, non necessariamente j2ee) prevede ad un certo punto
una chiamata di una servlet da parte di pentaho verso il portale dove
l'utente è autenticato con il famoso ID sia come cookie che come parametro
del form (è in chiaro in get ma non è poi complicato chiedere che sia
gestito il doPost())
quello che non capisco è: se rimaniamo in http e io sniffo la comunicazione
posso fare un reply attack normalissimo. giusto?
quindi, pensando di implementare fino in fondo
http://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet#Double_Submit_Cookiespotrei,
con l'utilizzo di
http://it.wikipedia.org/wiki/Nonce elevare ragionevolmente il livello di
sicurezza?
sto cercando di preparare delle proposte ragionevoli, motivate e facili da
stimare in termini di costo perchè mi piace farmi del male e andare alle
riunioni in cui mi dicono "chissenefrega" :-)
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/private/imolug/attachments/20100521/72f323db/attachment.htm>
Maggiori informazioni sulla lista
ImoLUG