[ImoLUG] [OT] JSESSIONID e sicurezza applicazioni java
Riccardo Govoni ☢
battlehorse@gmail.com
Ven 21 Maggio 2010 15:20:52 CEST
2010/5/21 Mario Giammarco <mgiammarco@gmail.com>
>
>
> Il giorno 21 maggio 2010 12.58, Riccardo Govoni ☢ <battlehorse@gmail.com>ha scritto:
>
> Nota a: usare solo https, come propone Gianmarco, non basta. Tappa alcuni
>> buchi (e.g. sniffing), ma non l'esempio della paginetta specifica che ho
>> fatto (i cookie viaggiano anche se la destinazione e' https).
>
>
> NB:: io non ho proposto niente, attenzione!
>
:-) mea culpa, leggo sempre le mail troppo in fretta.
/R.
>
> Ho cercato solo di fare capire due cose (anzi tre):
>
> 1) la prima e' che a seconda del caso d'uso una soluzione puo' offrire la
> sicurezza richiesta o meno.
> 2) la seconda e' che non bisogna confondere la semantica della
> sicurezza/autenticazione (di che livello di autenticazione ho bisogno) dai
> meccanismi (uso un cookie, scrivo sul un db, uso una lettura biometrica)
> 3) la terza e' che non bisogna fidarsi delle soluzioni altrui....
>
>
> Ma erano consigli generali, da cui appunto deriva la strategia che, una
> volta deciso il livello di sicurezza, si va poi alla ricerca di un framework
> come quello suggerito da Gavoni e non si fanno le cose in casa.
>
> Poi si va in riunione e ci si becca dei poveri paranoici con le altre
> persone in riunione che ridono alle nostre spalle.... (hi hi hi quello non
> sa che basta passare il jsessionid....)
>
>
> _______________________________________________
> ImoLUG mailing list
> imolug@lists.linux.it
> http://lists.linux.it/listinfo/imolug
> Connettivita' offerta da Waymedia - http://www.waymedia.it/
>
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/private/imolug/attachments/20100521/2d424f5b/attachment.htm>
Maggiori informazioni sulla lista
ImoLUG