0

私は最近、Web に公開された Filemaker データベース アプリのデータ整合性の問題を解決するよう依頼されました。

このアプリは、一連のビューを通じて求職者データを収集します。少数のユーザーから、アプリを使用しているときに、アプリケーションをトラバースしているときに別の応募者のデータが表示されるという報告がありました。これらのユーザーはすべてセッション タイムアウトのしきい値を超えたようで、フォーム内の他のユーザーのデータが明らかになりました。

ブラウザー セッションとアプリの間に表示される唯一のリンクであるため、生成されている JSESSIONID Cookie を見ています。JSESSIONID Cookie は過去に期限切れになるように設定されており、タイプは「セッション」です

JSESSIONID の値も非常によく似ています。アプリのテスト時に受け取った 2 つの JSESSIONID を次に示します。

02442D0AA37DEF0512674E8C
02442D09A38288D712674E8E

Web に公開された Filemaker アプリで同様の問題を経験した人はいますか?

JSESSIONID と Filemaker 11 の関係以外に、他に確認する必要がある場所はありますか? 言い換えると、Filemaker Web 公開エンジンには、誰もが知っている既知のセキュリティ上の脆弱性が他にありますか?

感謝とともに、

Slinky66

4

2 に答える 2

2

JSESSIONID は Apache Tomcat によって設定されます。このソフトウェアは FileMaker の Web 公開エンジンにバンドルされていますが、セッション ID の生成は FileMaker とはまったく関係がありません。

于 2011-12-22T17:13:16.873 に答える
0

Filemaker テクニカル サポート メンバーから、この問題の原因である既知の文書化されたバグが Filemaker にあるという通知を受け取りました。詳細については、次のスレッドを参照してください。

http://forums.filemaker.com/posts/0d29aeaea1

http://forums.filemaker.com/posts/ad61a7e781

于 2011-12-23T12:49:27.707 に答える