LINUX.ORG.RU

На сколько защищиены от угона сессии tomcat?

 ,


0

3

Добрый день! Пишу маленькое приложение, нужно идентифицировать каждого пользователя, но без регистрации. Первое, что пришло на ум - использовать Id сессии пользователя. Но меня очень беспокоит вопрос безопасности - насколько сложно и возможно ли увести чужую сессию подменой значения в куках?

Настолько же просто, насколько просто подменить куку. Ваш К.О.

bytecode ★★
()

Как минимум, выставляй флажок secure для кук. Включи HSTS на стороне сервера, или со стороны приложения использую только HTTPS. Если клиентская сторона не браузер (в последних версиях всех основных браузеров защита уже встроена), то нужно предусмотреть возможность так называемой Cookie Cutter атаки.

Vovka-Korovka ★★★★★
()

Идентификатор сессии генерируется случайным образом и он достаточно длинный, чтобы его невозможно было подобрать перебором. Но его можно посмотреть в настройках браузера, если есть доступ к компьютеру.

Рекомендуется во-первых ограничивать время действия сессии (например одним часом), во-вторых запоминать и проверять IP-адрес клиента.

Помимо этого по умолчанию JavaScript-код может читать значения cookies. Если тебе это не надо, рекомендуется выставлять флажок HTTP-ONLY для сессионных кук.

Legioner ★★★★★
()
Последнее исправление: Legioner (всего исправлений: 1)

На сколько защищиены от угона сессии tomcat

На столько, на сколько на любой другой веб-платформе. Так что вопрос глобальнее единичной реализации в tomcat.

foror ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.