[ImoLUG] [OT] JSESSIONID e sicurezza applicazioni java

virgilio pierini virgilio.pierini@gmail.com
Ven 21 Maggio 2010 13:43:01 CEST


approfondiamo un attimo il discorso del double submit cookies

il protocollo di handshake che devo implementare (e che è pensato per "n"
applicazioni integrate, non necessariamente j2ee) prevede ad un certo punto
una chiamata di una servlet da parte di pentaho verso il portale dove
l'utente è autenticato con il famoso ID sia come cookie che come parametro
del form (è in chiaro in get ma non è poi complicato chiedere che sia
gestito il doPost())

quello che non capisco è: se rimaniamo in http e io sniffo la comunicazione
posso fare un reply attack normalissimo. giusto?

quindi, pensando di implementare fino in fondo
http://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet#Double_Submit_Cookiespotrei,
con l'utilizzo di
http://it.wikipedia.org/wiki/Nonce elevare ragionevolmente il livello di
sicurezza?

sto cercando di preparare delle proposte ragionevoli, motivate e facili da
stimare in termini di costo perchè mi piace farmi del male e andare alle
riunioni in cui mi dicono "chissenefrega" :-)
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/private/imolug/attachments/20100521/72f323db/attachment.htm>


Maggiori informazioni sulla lista ImoLUG