[ImoLUG] [OT] JSESSIONID e sicurezza applicazioni java
Riccardo Govoni ☢
battlehorse@gmail.com
Ven 21 Maggio 2010 15:27:41 CEST
Virg,
penso di perdermi un pezzo. Dimmi se ho capito giusto:
Prima Pippo fa login sul tuo portale, poi Pippo fa una chiamata verso
un'altra applicazione (Pentaho), la quale a sua volta deve verificare presso
il tuo portale se l'utente e' gia' autenticato o meno (al momento passando
il JSession id ricevuto dal tuo portale) ? Ci ho visto giusto?
Segue disegnino (sperando non venga sformattato):
Tuo portale <-----------+
/\ |
| |
| 1.login | 3. Verifica delle credenziali.
| |
Utente ---------> Pentaho
2. chiamata ad altra app.
/R.
2010/5/21 virgilio pierini <virgilio.pierini@gmail.com>
> approfondiamo un attimo il discorso del double submit cookies
>
> il protocollo di handshake che devo implementare (e che è pensato per "n"
> applicazioni integrate, non necessariamente j2ee) prevede ad un certo punto
> una chiamata di una servlet da parte di pentaho verso il portale dove
> l'utente è autenticato con il famoso ID sia come cookie che come parametro
> del form (è in chiaro in get ma non è poi complicato chiedere che sia
> gestito il doPost())
>
> quello che non capisco è: se rimaniamo in http e io sniffo la comunicazione
> posso fare un reply attack normalissimo. giusto?
>
> quindi, pensando di implementare fino in fondo
> http://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet#Double_Submit_Cookiespotrei, con l'utilizzo di
> http://it.wikipedia.org/wiki/Nonce elevare ragionevolmente il livello di
> sicurezza?
>
> sto cercando di preparare delle proposte ragionevoli, motivate e facili da
> stimare in termini di costo perchè mi piace farmi del male e andare alle
> riunioni in cui mi dicono "chissenefrega" :-)
>
> _______________________________________________
> ImoLUG mailing list
> imolug@lists.linux.it
> http://lists.linux.it/listinfo/imolug
> Connettivita' offerta da Waymedia - http://www.waymedia.it/
>
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/private/imolug/attachments/20100521/cc2723c6/attachment.htm>
Maggiori informazioni sulla lista
ImoLUG