Παιδιά γεια σας,
προσπαθώ να ενσωματώσω στον κωδικά μου Session tracking. Χρησιμοποιώ JSP και Servlets.
Τι πρέπει να κάνω ώστε το site μου να μην ειναι ευάλωτο σε επιθέσεις?
1. Διάβασα κάπου ότι πρέπει το Session ID να το αποθηκεύσω σε κάποιο Cookie.
2. Αν χρησιμοποιήσω sessions πειράζει να μην χρησιμοποιήσω καθόλου Cookies?
3. Επίσης πρέπει να κάνω regenerate το SID σε κάθε request?
4. Μπορείτε να μου πείτε 5 πράγματα που πρέπει να διαβάσω και να προσθέσω ώστε να υπάρχει ασφάλεια στο site μου?
5. Αν κάποιος είχε καποια απλά παραδείγματα με session tracking για JSP θα βοηθούσε πολύ.(Τα περισσοτερα στο ιντερνετ ειναι για php)
Ευχαριστώ
Εμφάνιση 1-3 από 3
Θέμα: Session tracking σε JSPs
-
01-04-10, 18:26 Session tracking σε JSPs #1
-
01-04-10, 20:21 Απάντηση: Session tracking σε JSPs #2
Χωρις να είμαι σίγουρος γιατί έχω καιρό
Κώδικας:HttpSession session=req.getSession(true); String sessionID=session.getId();
-
01-04-10, 21:30 Απάντηση: Session tracking σε JSPs #3
Καλησπέρα,
Δεν είμαι σίγουρος ότι κατάλαβα τι ακριβώς θές... Session tracking, δηλαδή απλά session, είναι προεπιλεγμένο να κρατάνε τα JSP. Δηλ σε κάθε JSP θα βρείς ένα αντικείμενο τύπου HttpSession στη μεταβλητή session, εκτός και αν ρητά έχεις δηλώσει ότι δε θέλεις. Για servlets, ισχύει ο κώδικας του matrixlord.
(1) Ο προκαθορισμένος μηχανισμός έχει cookies και γίνεται αυτόματα από τον servlet container.
(2) Οι servlet containers θα έχουν τρόπο να δημιουργούν session χωρίς cookies, αλλά δε στο λέω με σιγουριά. Γιατί όμως να το κάνεις αυτό; Δες επίσης και τη μέθοδο HttpServletResponse.encodeURL() που χρησιμοποιείται για να φτιάχνεις URLs που περιέχουν το session id, αν είναι απενεργοποιημένα τα cookies.
(3) Γίνεται μάλλον κάπως έτσι, αλλά δεν έχει νόημα - πλήν αμέσως μετά το login, δές παρακάτω:
Κώδικας:// κρατάς τα αντικείμενα στο session session.invalidate(); session = request.getSession(true); // επαναφέρεις τα αντικείμενα στο session
(4) Νομίζω η προπαίδεια είναι η OWASP Top-10 List (υπάρχουν και αναλυτικότερες εκδόσεις του κειμένου αυτού, για ψάξε λίγο), μετά έρχεται η εμπειρία. Σχέση με αυτό που ρωτάς έχει το session fixation attack και το CSRF.
(5) Όπως σου γράφω και παραπάνω, άσε τον container να ασχοληθεί με τα sessions και εσύ απλά χρησιμοποίησέ τα, με προσοχή σε λίγα βασικά σημεία.
Παρόμοια Θέματα
-
2 Session σε xp
Από jdm στο φόρουμ WindowsΜηνύματα: 1Τελευταίο Μήνυμα: 11-01-07, 08:39 -
Php session problem
Από sonic στο φόρουμ Web authoring, development & web designΜηνύματα: 17Τελευταίο Μήνυμα: 07-07-06, 01:39 -
NAT session
Από ALiTiS στο φόρουμ ADSL & Broadband Hardware, routers και modems...Μηνύματα: 0Τελευταίο Μήνυμα: 13-03-04, 15:17
Bookmarks