[ImoLUG] [OT] JSESSIONID e sicurezza applicazioni java

Riccardo Govoni ☢ battlehorse@gmail.com
Mar 25 Maggio 2010 12:12:07 CEST 

Non e' che sia meno grave. Cercavo semplicemente di distinguere le cose. Ci
sono tre elementi in gioco, no?

- Riconoscimento della sessione
- Riconoscimento dell'utente (Autenticazione)
- Riconoscimento dei permessi / azioni concesse all'utente (Autorizzazione
).

Per il primo punto non c'e' molto da fare, e ci si fida dei jsessionid o
sistemi analoghi. Il fatto che 2 server condividano lo stesso jsessionid non
ha nessun impatto a livello di sicurezza. Qualunque cluster con session
broadcast fa cosi' e, per l'utente, si tratta alla fina di una sola unita'
logica con cui dialoga.

Per il secondo punto, la soluzione 'semplice' sono token xsrf, o soluzioni
analoghe basate su nonce, per essere sicuri che una certa richiesta proviene
effettivamente dall'utente X e non e' stata forgiata. Nota che non stiamo
parlando di federazione delle credenziali di autenticazione (OpenID), ma
semplicemente l'associare una data richiesta proveniente sul server web ad
uno specifico essere umano in fronte alla tastiera (soluzioni analoghe
prevedono l'uso di certificati client-side, tipo quello che faceva
MontePaschi, e altre cose ancora piu' complesse).

Il terzo punto lo tenevo da parte, perche' a) in genere una volta che hai
risolto i primi 2 punti, ogni applicativo si risolve il terzo internamente
(i.e. ogni app ha la sua tabella che definisce chi puo' fare cosa)  e b) a
quanto ne so, non esiste una pratica effettivamente standard per federare
profili di autorizzazioni (cosa puo' fare l'utente X?) se escludiamo OAuth e
OAuth v2 che, come hai notato tu, sono relativamente recenti.

Alla luce di questo e' una cattiva idea confondere il primo punto con il
secondo (uso del jsessionid per identificare l'utente fisico) e idem il
primo con il terzo ( associare profili di autorizzazione ad un jsessionid ).
Forse ho enfatizzato troppo la differenza mentre stavo cercando di capire il
setup che stiamo discutendo nel tuo caso (all'inizio non mi era chiaro che
ruolo giocasse Pentaho).

/R.

2010/5/25 virgilio pierini <virgilio.pierini@gmail.com>

> torno sulla questione
> (mi sono quasi convinto della soluzione per irrobustire l'attuale
> handshake, questa è una nuova domanda)
>
> come mai ho avuto l'impressione che, soprattutto Riccardo, distinguesse fra
> autenticazione ed autorizzazione? cioè, in che modo è meno grave se
> Pentaho/Portale si fidano del solo jsessionid se sis cambiano lo username
> piuttosto che il profilo di autorizzazioni?
> ho capito male io?
>
> ciaooo
>
> _______________________________________________
> ImoLUG mailing list
> imolug@lists.linux.it
> http://lists.linux.it/listinfo/imolug
> Connettivita' offerta da Waymedia - http://www.waymedia.it/
>
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/private/imolug/attachments/20100525/98e0bdb9/attachment.htm>

Maggiori informazioni sulla lista ImoLUG