Outra opiniao,
O que trafega realmente entre o cliente e o servidor eh
o id da sessao (seja dentro de um cookie ou pela URL). O
problema eh que, em principio, alguem pode copiar o cookie
ou a propria a URL e entrar na sessao do usuario em
outro browser/maquina.
Alem disto, a geracao destes id's deve ser "aleatoria" o
suficiente para que seja muito dificil que alguem consiga
"adivinhar" um id de sessao valido. Nao encontrei na especificacao
do servlet, a maneira como estes id sao gerados, ou seja,
nao sei se isto eh padronizado ou fica a cargo
da implementacao de cada servlet engine.
Para aplicacoes que exijam um nivel de seguranca maior,
sugiro que se utilizem verificacoes adicionais para garantir
a autenticidade do cliente (endereco IP, volume do HD, protocolo
challenge/response, etc.)
Alexandre
On Wed, 7 Jun 2000, Tamer wrote:
> opiniao de um leigo(eu):
>
> acho q a unica coisa que transita na rede e o id da sessao.
> o modo como uma session eh criada eu nao sei como eh, mas imagino que ele
> deva fazer uma captura de algumas caracteristicas do browser e depois de um
> calculo doido gerar este ID. imagino q cada browser deva ter um numero de
> serie ou qq coisa parecida.
>
> bom, quanto a seguranca acho que nao tem problema.
> quando executamos em um arquivo jsp por exemplo:
> String id = (String)session.getValue("id");
>
> este comando esta em uma pagina jsp que eh processada no servidor, e o
> valor que esta sendo solicitado estah tambem no servidor.
>
> acho q nao tem como um usuario externo enviar dados forjados , como por
> exemplo enviar em um formulario com post ou getche!.
>
>
> soh uma opiniao...
>
>
>
> At 07:13 07/06/2000 -0700, Simone Freire wrote:
> >Rafael,
> >O que eu tenho testado eh a existencia de uma sessao
> >valida, apos a autenticacao. O problema eh que o
> >codigo
> >da sessao transita entre o cliente e o servidor, o
> >que, acredito, possibilita interceptacao DO CODIGO DA
> >SESSAO, que fica em uma variavel identificada como
> >jsessionid, transportada em um cookie ou codificada
> >na url. Como validar, entao, no lado do servidor,
> >se o remetente do codigo da sessao eh o cliente
> >autenticado?
> >Acho que so com SSL...
> >Bom, a discussao esta aberta. Se eu estiver enganado,
> >por favor, me corrijam.
> >Andre.
> >
> >
> >--- Rafael Frantz <[EMAIL PROTECTED]> wrote:
> >> Andre,
> >>
> >> o problema e que tendo os dados de
> >> autenticacao na session, temos
> >> que garantir que ninguem ira pegalos. Sera que isso
> >> e possivel?
> >>
>
> _____________________________________________________________________________
> Tamer Americo - Conselho Federal de Medicina - CFM
> [EMAIL PROTECTED] - ICQ#3221276
>
> "When we are young / Wandering the face of the earth
> Wondering what our dreams might be worth / Learning that we're only immortal
> For a limited time"
> Dreamline - Rush
> ____________________________________________________________________________
> _
>
> --------------------------- LISTA SOUJAVA ---------------------------
> http://www.soujava.org.br - Sociedade de Usu�rios Java da Sucesu-SP
> [d�vidas mais comuns: http://www.soujava.org.br/faq.htm]
> [para sair da lista: http://www.soujava.org.br/forum/cadastrados.htm]
> [regras da lista: http://www.soujava.org.br/regras.htm]
> ---------------------------------------------------------------------
>
--------------------------- LISTA SOUJAVA ---------------------------
http://www.soujava.org.br - Sociedade de Usu�rios Java da Sucesu-SP
[d�vidas mais comuns: http://www.soujava.org.br/faq.htm]
[para sair da lista: http://www.soujava.org.br/forum/cadastrados.htm]
[regras da lista: http://www.soujava.org.br/regras.htm]
---------------------------------------------------------------------
