[ImoLUG] [OT] JSESSIONID e sicurezza applicazioni java

[Mario Giammarco]

Il giorno 21 maggio 2010 12.58, Riccardo Govoni ☢ <battlehorse@gmail.com> ha
scritto:

> Nota a: usare solo https, come propone Gianmarco, non basta. Tappa alcuni
> buchi (e.g. sniffing), ma non l'esempio della paginetta specifica che ho
> fatto (i cookie viaggiano anche se la destinazione e' https).


NB:: io non ho proposto niente, attenzione!

Ho cercato solo di fare capire due cose (anzi tre):

1) la prima e' che a seconda del caso d'uso  una soluzione puo' offrire la
sicurezza richiesta  o meno.
2) la seconda e' che non bisogna confondere la semantica della
sicurezza/autenticazione (di che livello di autenticazione ho bisogno) dai
meccanismi (uso un cookie, scrivo sul un db, uso una lettura biometrica)
3) la terza e' che non bisogna fidarsi delle soluzioni altrui....


Ma erano consigli generali, da cui appunto deriva la strategia che, una
volta deciso il livello di sicurezza, si va poi alla ricerca di un framework
come quello suggerito da Gavoni e non si fanno le cose in casa.

Poi si va in riunione e ci si becca dei poveri paranoici con le altre
persone in riunione che ridono alle nostre spalle.... (hi hi hi quello non
sa che basta passare il jsessionid....)
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/private/imolug/attachments/20100521/55240326/attachment.htm>