opiniao de um leigo(eu):
acho q a unica coisa que transita na rede e o id da sessao.
o modo como uma session eh criada eu nao sei como eh, mas imagino que ele
deva fazer uma captura de algumas caracteristicas do browser e depois de um
calculo doido gerar este ID. imagino q cada browser deva ter um numero de
serie ou qq coisa parecida.
bom, quanto a seguranca acho que nao tem problema.
quando executamos em um arquivo jsp por exemplo:
String id = (String)session.getValue("id");
este comando esta em uma pagina jsp que eh processada no servidor, e o
valor que esta sendo solicitado estah tambem no servidor.
acho q nao tem como um usuario externo enviar dados forjados , como por
exemplo enviar em um formulario com post ou getche!.
soh uma opiniao...
At 07:13 07/06/2000 -0700, Simone Freire wrote:
>Rafael,
>O que eu tenho testado eh a existencia de uma sessao
>valida, apos a autenticacao. O problema eh que o
>codigo
>da sessao transita entre o cliente e o servidor, o
>que, acredito, possibilita interceptacao DO CODIGO DA
>SESSAO, que fica em uma variavel identificada como
>jsessionid, transportada em um cookie ou codificada
>na url. Como validar, entao, no lado do servidor,
>se o remetente do codigo da sessao eh o cliente
>autenticado?
>Acho que so com SSL...
>Bom, a discussao esta aberta. Se eu estiver enganado,
>por favor, me corrijam.
>Andre.
>
>
>--- Rafael Frantz <[EMAIL PROTECTED]> wrote:
>> Andre,
>>
>> o problema e que tendo os dados de
>> autenticacao na session, temos
>> que garantir que ninguem ira pegalos. Sera que isso
>> e possivel?
>>
_____________________________________________________________________________
Tamer Americo - Conselho Federal de Medicina - CFM
[EMAIL PROTECTED] - ICQ#3221276
"When we are young / Wandering the face of the earth
Wondering what our dreams might be worth / Learning that we're only immortal
For a limited time"
Dreamline - Rush
____________________________________________________________________________
_
--------------------------- LISTA SOUJAVA ---------------------------
http://www.soujava.org.br - Sociedade de Usu�rios Java da Sucesu-SP
[d�vidas mais comuns: http://www.soujava.org.br/faq.htm]
[para sair da lista: http://www.soujava.org.br/forum/cadastrados.htm]
[regras da lista: http://www.soujava.org.br/regras.htm]
---------------------------------------------------------------------
