На сколько защищиены от угона сессии tomcat?

0

3

Добрый день! Пишу маленькое приложение, нужно идентифицировать каждого пользователя, но без регистрации. Первое, что пришло на ум - использовать Id сессии пользователя. Но меня очень беспокоит вопрос безопасности - насколько сложно и возможно ли увести чужую сессию подменой значения в куках?

Ссылка

←	python update_wrapper

Очистка памяти

→

Настолько же просто, насколько просто подменить куку. Ваш К.О.

bytecode ★★
(20.07.15 18:05:01 MSK)

Ссылка

Как минимум, выставляй флажок secure для кук. Включи HSTS на стороне сервера, или со стороны приложения использую только HTTPS. Если клиентская сторона не браузер (в последних версиях всех основных браузеров защита уже встроена), то нужно предусмотреть возможность так называемой Cookie Cutter атаки.

Vovka-Korovka ★★★★★
(20.07.15 18:18:21 MSK)

Ссылка

Идентификатор сессии генерируется случайным образом и он достаточно длинный, чтобы его невозможно было подобрать перебором. Но его можно посмотреть в настройках браузера, если есть доступ к компьютеру.

Рекомендуется во-первых ограничивать время действия сессии (например одним часом), во-вторых запоминать и проверять IP-адрес клиента.

Помимо этого по умолчанию JavaScript-код может читать значения cookies. Если тебе это не надо, рекомендуется выставлять флажок HTTP-ONLY для сессионных кук.

~~Legioner~~ ★★★★★
(20.07.15 18:53:20 MSK)
Последнее исправление: Legioner 20.07.15 18:54:10 MSK (всего исправлений: 1)