3

ブラウザーとWebSphereでホストされているWebアプリケーションとの間のトラフィックにsitParosを配置すると、HTTP要求のCookieセクションの一部として2つのセッションIDが渡されます。

JSESSIONID。私が知る限り、これはあなたのHTTPSessionIDです。LTPA2トークン。これは、Websphereに関する限り、「シングルサインオン」セッションです。

現在、IBMは、ユーザーがサインアウトしているときに、単一のホスト型アプリケーションがLTPA2トークンを無効にすることはできないと言っています。この背後にある考え方は、これがSSO識別子であるため、複数のアプリケーションで使用することを目的としているため、単一のアプリケーションで無効にできないようにする必要があるということです。WASには、「この環境は1つのアプリケーションのみをホストするため、アプリがLTPA2トークンを無効にできる」と宣言する構成はありません。

心配なのは、これらのLTPA2セッションが構成可能な時間だけハングすることです。したがって、別のユーザーがユーザーのLTPA2トークンのハンドルを取得した場合、そのユーザーはそれを使用してそのユーザーのセッションにアクセスし、機密データにアクセスできます。

中間者攻撃がセッション値をキャプチャするのを防ぐには、SSLを介してCookieの送信を強制し、Cookieに対してのみHTTPを指定します。ただし、ローカルマシンのハードドライブでCookieが利用できるのではないかと心配しています。ブラウザはそれをどこかに保存する必要があるので、それにアクセスする方法が必要ですか?

私の質問は、誰かがハードドライブからこのようなLTPA2値を取得することは可能ですか?誰かが図書館に座って、オンラインバンキングにサインインし、作業を行ってからログアウトするとします。次のユーザーがどういうわけかLTPA2トークンを取得することは可能ですか?

FireFox 4とIE8がCookieを保存すると思ったディレクトリを検索しようとしましたが、値とパターンマッチングできませんでした。私の直感は、特定のブラウザでこのデータを見つけることができるかもしれないということですか?

4

2 に答える 2

4

デフォルトでは、LTPA2 トークンは「セッション Cookie」です。Websphere はその Cookie に有効期限を設定せず、ユーザーがブラウザーを閉じるまでブラウザー メモリに保存されます。

クライアントがその Cookie を明示的に手動で取得してクライアント側に保存しない限り、ユーザーのマシン上のファイルには保存されません。

于 2011-07-04T22:38:30.803 に答える
0

必要に応じて、LTPAトークンを無効にすることができます。

ただし、これにはIBM拡張機能を使用する必要があります(当然)

これを見て:

(a)http://www.ibm.com/developerworks/websphere/techjournal/1003_botzum/1003_botzum.html

LTPAトークンは非標準ですが、単なるクレデンシャル/トークンであり、アプリケーション開発チームには影響しません。ユーザーがログアウトするときにLTPAトークンを削除するために、ibm_security_logoutURLにリダイレクトします。

(b)ftp://ftp.software.ibm.com/software/dw/wes/0409_botzum/WAS-511-Security-AdvancedTopics.pdf

これらの記事は古いものですが、それでも機能するはずです(これらの基本は何年にもわたってあまり変わっていないため)

LTPAトークン(Terrellが「メモリ内セッションCookie」で述べたように)を無効にすることにより、あなたが持っていたすべての心配はなくなるはずです。HTHマングル

于 2011-07-05T03:25:45.050 に答える