Oi Rafael e Andre,
Concordo com o Andre, a unica forma de garantir integridade e
privacidade nesse caso eh usando SSL. Por outro lado, acho que, pelo
codigo da sessao ser gerado dinamicamente, a chance de alguem interceptar
uma mensagem do servidor para o cliente ou vice-versa, pegar esse codigo e
fazer alguma coisa antes do usuario sair do site ou a sessao dele expirar
eh pequena. Mas como Murphy sempre entra em acao, eh bom
previnir... :) Use SSL.
Abracos,
Bruno.
On Wed, 7 Jun 2000, Simone Freire wrote:
> Rafael,
> O que eu tenho testado eh a existencia de uma sessao
> valida, apos a autenticacao. O problema eh que o
> codigo
> da sessao transita entre o cliente e o servidor, o
> que, acredito, possibilita interceptacao DO CODIGO DA
> SESSAO, que fica em uma variavel identificada como
> jsessionid, transportada em um cookie ou codificada
> na url. Como validar, entao, no lado do servidor,
> se o remetente do codigo da sessao eh o cliente
> autenticado?
> Acho que so com SSL...
> Bom, a discussao esta aberta. Se eu estiver enganado,
> por favor, me corrijam.
> Andre.
>
>
> --- Rafael Frantz <[EMAIL PROTECTED]> wrote:
> > Andre,
> >
> > o problema e que tendo os dados de
> > autenticacao na session, temos
> > que garantir que ninguem ira pegalos. Sera que isso
> > e possivel?
> >
> > Obrigado!
> > Rafael.
> >
> > ----- Original Message -----
> > From: "Simone Freire" <[EMAIL PROTECTED]>
> > To: "Tamer" <[EMAIL PROTECTED]>;
> > <[EMAIL PROTECTED]>
> > Sent: Wednesday, June 07, 2000 12:08 AM
> > Subject: Re: [SouJava-J] ?modelo de seguranca com
> > session
> >
> >
> > > Estou fazendo algo similar, testando sessao
> > > e parametros.
> > > No entanto, me parece que o modelo da servlet
> > > oferece mais seguranca. Age como um proxy, na
> > > verdade.
> > > Andre
> > >
> > > --- Tamer <[EMAIL PROTECTED]> wrote:
> > > > Companheiros,
> > > >
> > > > para as paginas que quero manter um nivel de
> > > > seguranca apenas de
> > > > autenticacao, eu estou colocando no topo das
> > paginas
> > > > um codigo que verifica
> > > > se existe secao e se os parametros estao
> > corretos
> > > > para liberar a pagina em
> > > > questao.
> > > >
> > > > Em um artigo do Handerson, ele fez diferente:
> > > > colocou as paginas que queria
> > > > manter seguras em uma pasta private e fez um
> > unico
> > > > servlet de validacao de
> > > > autenticacao e redirecionamento para a pagina
> > > > desejada.
> > > >
> > > > eu estou colocando um pequeno codigo q valida a
> > > > secao em toda pagina q
> > > > quero manter segura. alguem estah fazendo de
> > forma
> > > > diferente??
> > > >
> > > > estou adicionando aa secao um parametro
> > permissao
> > > > com o valor true.
> > > > caso seja falso o usuario nao tem direito de ver
> > a
> > > > pagina.
> > > >
> > > > somente isto me darah a seguranca que quero na
> > > > pagina ou preciso de colocar
> > > > mais parametros...??
> > > >
> > > >
> > >
> >
> ____________________________________________________________________________
> > _
> > > > Tamer Americo - Conselho Federal de Medicina -
> > CFM
> > > > [EMAIL PROTECTED] - ICQ#3221276
> > > >
> > > > "When we are young / Wandering the face of the
> > earth
> > > > Wondering what our dreams might be worth /
> > Learning
> > > > that we're only immortal
> > > > For a limited time"
> > > > Dreamline - Rush
> > > >
> > >
> >
> ____________________________________________________________________________
> > > > _
> > > >
> > > > --------------------------- LISTA SOUJAVA
> > > > ---------------------------
> > > > http://www.soujava.org.br - Sociedade de
> > > > Usu�rios Java da Sucesu-SP
> > > > [d�vidas mais comuns:
> > > > http://www.soujava.org.br/faq.htm]
> > > > [para sair da lista:
> > > > http://www.soujava.org.br/forum/cadastrados.htm]
> > > > [regras da lista:
> > > > http://www.soujava.org.br/regras.htm]
> > > >
> > > >
> > >
> >
> ---------------------------------------------------------------------
> > > >
> > >
> > >
> > > __________________________________________________
> > > Do You Yahoo!?
> > > Yahoo! Photos -- now, 100 FREE prints!
> > > http://photos.yahoo.com
> > >
> > > --------------------------- LISTA SOUJAVA
> > ---------------------------
> > > http://www.soujava.org.br - Sociedade de
> > Usu�rios Java da Sucesu-SP
> > > [d�vidas mais comuns:
> > http://www.soujava.org.br/faq.htm]
> > > [para sair da lista:
> > http://www.soujava.org.br/forum/cadastrados.htm]
> > > [regras da lista:
> > http://www.soujava.org.br/regras.htm]
> > >
> >
> ---------------------------------------------------------------------
> >
> > --------------------------- LISTA SOUJAVA
> > ---------------------------
> > http://www.soujava.org.br - Sociedade de
> > Usu�rios Java da Sucesu-SP
> > [d�vidas mais comuns:
> > http://www.soujava.org.br/faq.htm]
> > [para sair da lista:
> > http://www.soujava.org.br/forum/cadastrados.htm]
> > [regras da lista:
> > http://www.soujava.org.br/regras.htm]
> >
> >
> ---------------------------------------------------------------------
> >
>
>
> __________________________________________________
> Do You Yahoo!?
> Yahoo! Photos -- now, 100 FREE prints!
> http://photos.yahoo.com
>
> --------------------------- LISTA SOUJAVA ---------------------------
> http://www.soujava.org.br - Sociedade de Usu�rios Java da Sucesu-SP
> [d�vidas mais comuns: http://www.soujava.org.br/faq.htm]
> [para sair da lista: http://www.soujava.org.br/forum/cadastrados.htm]
> [regras da lista: http://www.soujava.org.br/regras.htm]
> ---------------------------------------------------------------------
>
______________________________________________________________
Bruno Diniz de Paula
[EMAIL PROTECTED] - UFMG
[EMAIL PROTECTED] - Telemig Celular
"Coracoes ao alto e pes no chao."
"A verdadeira experiencia com Deus nao nos faz
fugir da realidade, mas nos da forcas para
enfrenta-la e transforma-la."
Pe. Zeca
--------------------------- LISTA SOUJAVA ---------------------------
http://www.soujava.org.br - Sociedade de Usu�rios Java da Sucesu-SP
[d�vidas mais comuns: http://www.soujava.org.br/faq.htm]
[para sair da lista: http://www.soujava.org.br/forum/cadastrados.htm]
[regras da lista: http://www.soujava.org.br/regras.htm]
---------------------------------------------------------------------
