Session tracking σε JSPs

[g_p]

Παιδιά γεια σας,
προσπαθώ να ενσωματώσω στον κωδικά μου Session tracking. Χρησιμοποιώ JSP και Servlets.

Τι πρέπει να κάνω ώστε το site μου να μην ειναι ευάλωτο σε επιθέσεις?

1. Διάβασα κάπου ότι πρέπει το Session ID να το αποθηκεύσω σε κάποιο Cookie.
2. Αν χρησιμοποιήσω sessions πειράζει να μην χρησιμοποιήσω καθόλου Cookies?
3. Επίσης πρέπει να κάνω regenerate το SID σε κάθε request?
4. Μπορείτε να μου πείτε 5 πράγματα που πρέπει να διαβάσω και να προσθέσω ώστε να υπάρχει ασφάλεια στο site μου?
5. Αν κάποιος είχε καποια απλά παραδείγματα με session tracking για JSP θα βοηθούσε πολύ.(Τα περισσοτερα στο ιντερνετ ειναι για php)

Ευχαριστώ

[matrixlord]

Χωρις να είμαι σίγουρος γιατί έχω καιρό

Κώδικας:

HttpSession session=req.getSession(true);
String sessionID=session.getId();

To session είναι έτσι και αλλιώς cookie. Για αυτό αν έχεις κάνει σε μια οποιαδήποτε σελίδα login και μετά σβήσεις τα cookies γίνεσαι αυτόματα log out.

[nikospara]

Καλησπέρα,

Δεν είμαι σίγουρος ότι κατάλαβα τι ακριβώς θές... Session tracking, δηλαδή απλά session, είναι προεπιλεγμένο να κρατάνε τα JSP. Δηλ σε κάθε JSP θα βρείς ένα αντικείμενο τύπου HttpSession στη μεταβλητή session, εκτός και αν ρητά έχεις δηλώσει ότι δε θέλεις. Για servlets, ισχύει ο κώδικας του matrixlord.

(1) Ο προκαθορισμένος μηχανισμός έχει cookies και γίνεται αυτόματα από τον servlet container.

(2) Οι servlet containers θα έχουν τρόπο να δημιουργούν session χωρίς cookies, αλλά δε στο λέω με σιγουριά. Γιατί όμως να το κάνεις αυτό; Δες επίσης και τη μέθοδο HttpServletResponse.encodeURL() που χρησιμοποιείται για να φτιάχνεις URLs που περιέχουν το session id, αν είναι απενεργοποιημένα τα cookies.

(3) Γίνεται μάλλον κάπως έτσι, αλλά δεν έχει νόημα - πλήν αμέσως μετά το login, δές παρακάτω:

Κώδικας:

// κρατάς τα αντικείμενα στο session
session.invalidate();
session = request.getSession(true);
// επαναφέρεις τα αντικείμενα στο session

Όποια session-scoped αντικείμενα έχεις θα χαθούν, εκτός κι αν λάβεις τα μέτρα σου!

(4) Νομίζω η προπαίδεια είναι η OWASP Top-10 List (υπάρχουν και αναλυτικότερες εκδόσεις του κειμένου αυτού, για ψάξε λίγο), μετά έρχεται η εμπειρία. Σχέση με αυτό που ρωτάς έχει το session fixation attack και το CSRF.

(5) Όπως σου γράφω και παραπάνω, άσε τον container να ασχοληθεί με τα sessions και εσύ απλά χρησιμοποίησέ τα, με προσοχή σε λίγα βασικά σημεία.