[ImoLUG] [OT] JSESSIONID e sicurezza applicazioni java

virgilio pierini virgilio.pierini@gmail.com
Ven 21 Maggio 2010 13:43:01 CEST


approfondiamo un attimo il discorso del double submit cookies

il protocollo di handshake che devo implementare (e che  pensato per "n"
applicazioni integrate, non necessariamente j2ee) prevede ad un certo punto
una chiamata di una servlet da parte di pentaho verso il portale dove
l'utente  autenticato con il famoso ID sia come cookie che come parametro
del form ( in chiaro in get ma non  poi complicato chiedere che sia
gestito il doPost())

quello che non capisco : se rimaniamo in http e io sniffo la comunicazione
posso fare un reply attack normalissimo. giusto?

quindi, pensando di implementare fino in fondo
http://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet#Double_Submit_Cookiespotrei,
con l'utilizzo di
http://it.wikipedia.org/wiki/Nonce elevare ragionevolmente il livello di
sicurezza?

sto cercando di preparare delle proposte ragionevoli, motivate e facili da
stimare in termini di costo perch mi piace farmi del male e andare alle
riunioni in cui mi dicono "chissenefrega" :-)
-------------- parte successiva --------------
Un allegato HTML  stato rimosso...
URL: <http://lists.linux.it/private/imolug/attachments/20100521/72f323db/attachment.htm>


Maggiori informazioni sulla lista ImoLUG