/ Forside / Teknologi / Udvikling / Java / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Java
#NavnPoint
molokyle 3688
Klaudi 855
strarup 740
Forvirret 660
gøgeungen 500
Teil 373
Stouenberg 360
vnc 360
pmbruun 341
10  mccracken 320
Er session sikker?
Fra : Flare


Dato : 19-08-04 23:05

Hejsa.

Jeg er ved at lave noget jsp/struts og ønsker at lave noget login
funktionalitet.

Men mit hel konkret spørgmål er. Vil en ondsindet bruger have mulighed for
at manipulerer et session objekte så dette tjek ikke længere var et sikkert
tegn på at brugeren rent fakti var blevet authorized?

<logic:notPresent scope="session" name="memberInfo">

Hvis en ondsindet bruge har mulighed for at indsætte noget i session
objektet vil dette tjek jo være fuldstændig gennemhullet.

Og hvordan forholder det sig med request objetet...?

Mvh
Anders



 
 
Jonathan Stein (20-08-2004)
Kommentar
Fra : Jonathan Stein


Dato : 20-08-04 14:49

Flare wrote:

> Hvis en ondsindet bruge har mulighed for at indsætte noget i session
> objektet vil dette tjek jo være fuldstændig gennemhullet.

Man kan selvfølgelig altid risikere et generelt sikkerhedshul, så en
bruger kan få fuld kontrol over serveren, men ellers har brugeren ingen
adgang til Session-dataene.

> Og hvordan forholder det sig med request objetet...?

Det indeholder jo (primært) data, som brugeren afsender, så det må
brugeren siges at have stor indflydelse på.

Stol aldrig på noget, der kommer fra brugeren!

M.v.h.

Jonathan

--
Er din e-mail vigtig? Er du træt af virus og spam i mailen?
Virus-scanning og spam-filtrering på alle mail-konti. På redundant
mail-setup med daglig backup.
http://www.jsp-hotel.dk/

Flare (21-08-2004)
Kommentar
Fra : Flare


Dato : 21-08-04 23:04

> Man kan selvfølgelig altid risikere et generelt sikkerhedshul, så en
> bruger kan få fuld kontrol over serveren, men ellers har brugeren ingen
> adgang til Session-dataene.

Request?
> Stol aldrig på noget, der kommer fra brugeren!

Jeg takker for svarene. Går ud fra at sessions objetet 100% lever serverside
så, og ikke i brugerens browser. Det var faktisk det jeg lige var i tvivl
om.

Anders



Niels Ull Harremoës (22-08-2004)
Kommentar
Fra : Niels Ull Harremoës


Dato : 22-08-04 14:01


"Flare" <none@at.all> skrev i en meddelelse
news:4127c6e4$0$230$edfadb0f@dread14.news.tele.dk...
> > Man kan selvfølgelig altid risikere et generelt sikkerhedshul, så en
> > bruger kan få fuld kontrol over serveren, men ellers har brugeren ingen
> > adgang til Session-dataene.
>
> Request?
> > Stol aldrig på noget, der kommer fra brugeren!
>
> Jeg takker for svarene. Går ud fra at sessions objetet 100% lever
serverside
> så, og ikke i brugerens browser. Det var faktisk det jeg lige var i tvivl
> om.

Vær dog opmærksom på, at nogen servere (fx WebLogic) giver mulighed for at
gemme hele sessionen i cookies - og så *kan* brugeren pille. Men det er ikke
standardindstillingen, og man vil normalt kun bruge det til sites med meget
små sessioner og meget stor traffik.

Hvis du ikke selv har sat serveren op og er lidt små-paranoid (og det *skal*
man være), bør du lige checke. Og hvis det er en applikation du leverer til
andre, skal du sørge for at dokumentere at denne indstilling ikke må bruges.

MvH Niels



Flare (23-08-2004)
Kommentar
Fra : Flare


Dato : 23-08-04 16:29

> Hvis du ikke selv har sat serveren op og er lidt små-paranoid (og det
*skal*
> man være), bør du lige checke. Og hvis det er en applikation du leverer
til
> andre, skal du sørge for at dokumentere at denne indstilling ikke må
bruges.

Advise taken. Takker.

Anders



Søg
Reklame
Statistik
Spørgsmål : 177580
Tips : 31968
Nyheder : 719565
Indlæg : 6409081
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste