問題タブ [jsessionid]

製品の顧客は、保護されたページの 1 つに直接ログインしようとしています。

ログインページの Cookie (J-session id) は Cookie に保存され、これはログインページの後に来る 2 番目のページからいくつかの情報にアクセスするために 2 番目の get で再び使用されます。

2ページ目url=https://" + anIp + ":5443/om/service.do?action=listservice

注 : どちらのページもセキュリティで保護されたページ (https) です。問題は、tomcat5.5 で両方の Cookie が同じであることを確認したことです。しかし、Tomcat 6.0 では、最初の Cookie を使用して 2 番目のページにアクセスしようとすると、機能しません。https ページから別の https(のみ) ページへのナビゲーションであっても、6.0 で Cookie が変更されていることがわかりました。6.0 の何が問題なのかわかりません。5.5 から 6.0 tomcat への Cookie 管理の変更はありますか。これについて知っている人がいたら教えてください。

新しいサーバーに移動してから、Webアプリケーションにログインするときに404エラーが発生します。認証にSpringAcegiを使用しており、HTTPストリームはかなり一般的です。

その理由は、パスパラメータ'; jsessionid = ..'のどこかにあり、セミコロンが％3bにエンコードされ、サーバーが検索に失敗します。

/dev/login.go%3bjsessionid=DA122287727B72CD3F1B77DBD799531F

これは珍しい問題ではないと確信していますが、良いグーグルヒットを見つけることができません。Apache Tomcat / 6.0.35を使用しており、ブラウザはIE9です。

ありがとうサイモン

tomcat のドキュメントによると、tomcat7 はセッション固定攻撃に対して脆弱ではありません。しかし、Tomcat 7.0.25 と 7.0.27 は、この攻撃に対して脆弱です。ログインに成功しても、JSESSIONID Cookie の値が変更されません。

次のバルブを conf/context.xml に追加しました。しかし、これはうまくいきませんでした。私を助けてください。

また、JSESSION ID Cookie の値は認証時にのみ変化することも知りました。認証とは何を意味しますか? アプリケーションを http から https に切り替えていますか?

ログイン時に jsession id 値を変更できるものはすでに構築されていますか? 現在、コードを介してこれを変更しています。

前もって感謝します。さらに情報が必要な場合はお知らせください。

よろしく、

プラシャント・グプタ

jsessionid を作成するためのデフォルトのコードベースを探しています。インスタンスごとに異なる場合がありますが、ネット上で見つけることができないようで、変更/設定方法の説明だけです。

ありがとう

jsessionid を URL に渡す方法を知っています。URL をエンコードすると、次のようになります。

mysite.com;jsessionid=0123456789ABCDEF (http)

Java を使用して URL から jsessionid を取得する組み込みメソッドはありますか? javadocs isRequestedSessionIdFromURLでこのメソッドを見つけましたが、実際に値を取得するのには役立ちません。独自の取得方法を構築する必要がありますか?

ありがとうございました。

host onlyクッキーとは何か知りたいです。

を取得している間form auth、ブラウザはヘッダーで JSESSIONID Cookie を取得しhost onlyます。

私のAndroidアプリケーションでは、最初の画面でユーザーが認証され、サーブレットがセッションIDで応答します... 2番目の画面で、ユーザーは再びセッションIDをURLに追加してサーブレットを呼び出します;jsession="sessionid" パラメータとともに。 ..

しかし、サーブレットはセッションIDを取得しておらず、認証なしで新しいセッションとして応答しています...

問題はどこだ？

接続にこのコードを使用しています

私は、手の届かない2つのApache HTTPDサーバーを介して、2つの異なるアクセスポイントを持つWebアプリケーション（Tomcatサーバー上に存在）の保守を担当しています。

2つのアクセスポイントは、サードパーティのSSOシステム、またはログインとパスワードの入力を求める古き良き認証ページのいずれかを介してユーザーにログインすることを目的としています。

秘訣は、このSSOにより、アップロードまたはダウンロードできるファイルのサイズが制限されることです。SSOユーザーはそれより重いものを取得して送信する必要があるため、これに対する回避策が必要です。おそらく、他のサーバーを介して正しいリソースの場所を指すリンクを提供するだけです。

ここで私が懸念しているのは、誰かが巧妙に推測されたアドレスを入力して、想定外のドキュメントを取得した場合のセキュリティです。担当者は、ユーザーがドキュメントを取得する権限を持っていることを確認するためにSessionManagerについて聞きたくありませんが、JSESSSION_IDを使用してIDを確認するだけでよいと提案しました...

私はこれをどのように実装するかわからず、これが非常に恐ろしい方法で裏目に出るだろうという深刻な直感を持っています。

同様の問題に対処しなければならなかった人は、いくつかの落とし穴を指摘し、このSSOを安全にバイパスする方法に関するいくつかの役立つヒントを共有できますか？

私はこれがほとんど同じ質問であることを知っています:ジョーによる質問

私はウェブアプリケーションを持っています。ウィンドウを閉じると (ブラウザで [X] をクリック)、ログアウト機能が呼び出されます。

問題は、Web アプリケーションを開いて、同じ Web アプリケーションを別のウィンドウ (新しいウィンドウまたは別のタブ) で開いたときです。そして、そのアプリケーションの開いているウィンドウがまだある場合でも、ログアウト機能を呼び出すウィンドウの 1 つを閉じます。

私がやりたいことは、閉じようとしている現在のウィンドウと同じ jsessionid を使用している他のウィンドウがあるかどうかを最初に確認することです。そのウィンドウを閉じると、同じ jsessionid を使用するウィンドウがない場合にのみ、ログアウト機能が呼び出されます。