[ImoLUG] [OT] JSESSIONID e sicurezza applicazioni java

Riccardo Govoni ☢ battlehorse@gmail.com
Ven 21 Maggio 2010 16:41:43 CEST


Alcuni server fanno qualcosa (tipo controllo dei referer header, quando ci
sono), altri no, ma si tratta quasi sempre di misure di arginamento, non
definitive.

Ma non hai mai debuggato un utente che aveva dei problemi con una
applicazione fregandogli il jsessionid? Fidati, funziona (in mancanza di
altri controlli aggiuntivi di tipo challenge/response come quelli
descritti).

/R.

2010/5/21 virgilio pierini <virgilio.pierini@gmail.com>

> scusate
> ma lato server non vi sono dei controlli sul jsessionid? (mi sa che fra le
> righe avevo giÓ toccato questo punto in una delle prime email)
>
> ad esempio non viene confrontato con l'ip sorgente?
>
> altrimenti sul serio posso mandare il link ad un mio collega via skype e
> farlo entrare come se fossi io...
>
> _______________________________________________
> ImoLUG mailing list
> imolug@lists.linux.it
> http://lists.linux.it/listinfo/imolug
> Connettivita' offerta da Waymedia - http://www.waymedia.it/
>
>
-------------- parte successiva --------------
Un allegato HTML Ŕ stato rimosso...
URL: <http://lists.linux.it/private/imolug/attachments/20100521/85f96044/attachment.htm>


Maggiori informazioni sulla lista ImoLUG