Rafael,
abaixo um exemplo de utiliza��o utilizando sess�o:
Crie a p�gina 1 em HTML (que pode estar em JSP, servlet ou arquivo HTML) solicitando o
login e a senha do usu�rio. Ao confirmar, a p�gina 2 ser� chamada;
Na p�gina 2, conecte-se ao banco de dados com o usu�rio e senha.
Caso a conex�o seja feita, jogue a vari�vel de conex�o � uma vari�vel de sess�o.
Crie por qualquer m�todo, um ID para esta conex�o (passarei a cham�-lo de SID). Guarde
em vari�vel de sess�o o n�mero do SID
Dispniblize na p�gina 2 as op��es do usu�rio. Caso op��o dever� passar � pr�xima
p�gina o SID:
Caso a op��o seja um link, o SID pode ser adicionado da seguinte forma: <a
href="....../pagina3?sid=12345">...</a>.
Caso seja um tag <FORM>, inclua um campo HIDDEN: <INPUT TYPE=HIDDEN NAME=SID
VALUE=12345>
Em qualquer outra p�gina, verifique se a vari�vel de SID que veio por par�metro (
request.getParameter("sid") ) � igual � vari�vel da sess�o. Se for, tudo bem.
Quando o usu�rio encerrar a sess�o, destrua todas as vari�veis de sess�o com null.
S� para complementar, no teste da vari�vel, o timeout pode ser testado. Mas
para isto, vari�veis de sess�o com hora devem ser criadas.
Sempre em cada p�gina, verifique se as vari�veis est�o v�lidas, pois o usu�rio
j� pode ter se desconectado.
Evandro
----- Mensagem original -----
De: Rafael Frantz [SMTP:[EMAIL PROTECTED]]
Enviada em: Quarta-feira, 7 de Junho de 2000 19:35
Para: Evandro Vin�cius Cordeiro de Miranda
Assunto: Re: [SouJava-J] ?modelo de seguranca com session
Evandro,
obrigado por contribuir com a nossa discucao. Se possivel eu
gostaria que voce explicasse melhor o processo de login do usuario ao seu
sistema e como depois antes da geracao de cada pagina por um servlet voce
tem certeza de que o mesmo usuario.
Obrigado desde ja,
Rafael.
----- Original Message -----
From: "Evandro Vin�cius Cordeiro de Miranda" <[EMAIL PROTECTED]>
To: "'Alexandre de Souza Pinto'" <[EMAIL PROTECTED]>; "Tamer"
<[EMAIL PROTECTED]>
Cc: <[EMAIL PROTECTED]>
Sent: Wednesday, June 07, 2000 10:11 AM
Subject: RES: [SouJava-J] ?modelo de seguranca com session
> Senhores,
>
> gostaria de participar da discuss�o e fazer alguns coment�rios:
>
> . SSL � uma criptografia entre o Browser e o servidor e vice-versa, que
garante que a informa��o que est� sendo transmitida em qualquer um dos
sentidos � segura, ou seja, que ningu�m poder� reconhecer, j� que a
descriptografia � feita no servidor e no Browser por uma chave. Existe todo
um processo de autentica��o, inclusive que inicia-se com um pedido � Thawte,
que � uma das empresas que gera arquivo de certifica��o.
>
> Na pergunta inicial sobre seguran�a, o SSL s� ir� garantir que a
informa��o chegue segura ao destino. No caso do ID, que tamb�m � chamada de
SID, ele pode ser gerado durante a tela de login do usu�rio e, logo no
in�cio de cada p�gina, verificar se o mesmo � v�lido. Esta valida��o pode
ter v�rios n�veis, como qual � o IP da m�quina do usu�rio (que, caso o
usu�rio se conecte por outra m�quina, ele n�o ter� sucesso), tempo de
timeout (caso de ter esquecido a sess�o aberta), o pr�prio n�mero da sess�o
que pode ser pego pelo objetivo Session (caso tenha aberto outro browser).
>
> J� fizemos v�rios testes e eu aconselho usar tanto o SID quanto o SSL,
cada um com a sua fun��o.
>
> Se n�o fui claro, favor retornar.
>
> Evandro
>
> ----- Mensagem original -----
> De: Alexandre de Souza Pinto [SMTP:[EMAIL PROTECTED]]
> Enviada em: Quarta-feira, 7 de Junho de 2000 12:16
> Para: Tamer
> Cc: [EMAIL PROTECTED]
> Assunto: Re: [SouJava-J] ?modelo de seguranca com session
>
> Outra opiniao,
>
> O que trafega realmente entre o cliente e o servidor eh
> o id da sessao (seja dentro de um cookie ou pela URL). O
> problema eh que, em principio, alguem pode copiar o cookie
> ou a propria a URL e entrar na sessao do usuario em
> outro browser/maquina.
>
> Alem disto, a geracao destes id's deve ser "aleatoria" o
> suficiente para que seja muito dificil que alguem consiga
> "adivinhar" um id de sessao valido. Nao encontrei na especificacao
> do servlet, a maneira como estes id sao gerados, ou seja,
> nao sei se isto eh padronizado ou fica a cargo
> da implementacao de cada servlet engine.
>
> Para aplicacoes que exijam um nivel de seguranca maior,
> sugiro que se utilizem verificacoes adicionais para garantir
> a autenticidade do cliente (endereco IP, volume do HD, protocolo
> challenge/response, etc.)
>
> Alexandre
>
> On Wed, 7 Jun 2000, Tamer wrote:
>
> > opiniao de um leigo(eu):
> >
> > acho q a unica coisa que transita na rede e o id da sessao.
> > o modo como uma session eh criada eu nao sei como eh, mas imagino que
ele
> > deva fazer uma captura de algumas caracteristicas do browser e depois de
um
> > calculo doido gerar este ID. imagino q cada browser deva ter um numero
de
> > serie ou qq coisa parecida.
> >
> > bom, quanto a seguranca acho que nao tem problema.
> > quando executamos em um arquivo jsp por exemplo:
> > String id = (String)session.getValue("id");
> >
> > este comando esta em uma pagina jsp que eh processada no servidor, e o
> > valor que esta sendo solicitado estah tambem no servidor.
> >
> > acho q nao tem como um usuario externo enviar dados forjados , como por
> > exemplo enviar em um formulario com post ou getche!.
> >
> >
> > soh uma opiniao...
> >
> >
> >
> > At 07:13 07/06/2000 -0700, Simone Freire wrote:
> > >Rafael,
> > >O que eu tenho testado eh a existencia de uma sessao
> > >valida, apos a autenticacao. O problema eh que o
> > >codigo
> > >da sessao transita entre o cliente e o servidor, o
> > >que, acredito, possibilita interceptacao DO CODIGO DA
> > >SESSAO, que fica em uma variavel identificada como
> > >jsessionid, transportada em um cookie ou codificada
> > >na url. Como validar, entao, no lado do servidor,
> > >se o remetente do codigo da sessao eh o cliente
> > >autenticado?
> > >Acho que so com SSL...
> > >Bom, a discussao esta aberta. Se eu estiver enganado,
> > >por favor, me corrijam.
> > >Andre.
> > >
> > >
> > >--- Rafael Frantz <[EMAIL PROTECTED]> wrote:
> > >> Andre,
> > >>
> > >> o problema e que tendo os dados de
> > >> autenticacao na session, temos
> > >> que garantir que ninguem ira pegalos. Sera que isso
> > >> e possivel?
> > >>
> >
> >
____________________________________________________________________________
_
> > Tamer Americo - Conselho Federal de Medicina - CFM
> > [EMAIL PROTECTED] - ICQ#3221276
> >
> > "When we are young / Wandering the face of the earth
> > Wondering what our dreams might be worth / Learning that we're only
immortal
> > For a limited time"
> > Dreamline - Rush
> >
____________________________________________________________________________
> > _
> >
> > --------------------------- LISTA
SOUJAVA ---------------------------
> > http://www.soujava.org.br - Sociedade de Usu�rios Java da
Sucesu-SP
> > [d�vidas mais comuns: http://www.soujava.org.br/faq.htm]
> > [para sair da lista:
http://www.soujava.org.br/forum/cadastrados.htm]
> > [regras da lista: http://www.soujava.org.br/regras.htm]
>
---------------------------------------------------------------------
> >
>
> --------------------------- LISTA SOUJAVA ---------------------------
> http://www.soujava.org.br - Sociedade de Usu�rios Java da Sucesu-SP
> [d�vidas mais comuns: http://www.soujava.org.br/faq.htm]
> [para sair da lista: http://www.soujava.org.br/forum/cadastrados.htm]
> [regras da lista: http://www.soujava.org.br/regras.htm]
> ---------------------------------------------------------------------
>
> --------------------------- LISTA SOUJAVA ---------------------------
> http://www.soujava.org.br - Sociedade de Usu�rios Java da Sucesu-SP
> [d�vidas mais comuns: http://www.soujava.org.br/faq.htm]
> [para sair da lista: http://www.soujava.org.br/forum/cadastrados.htm]
> [regras da lista: http://www.soujava.org.br/regras.htm]
> ---------------------------------------------------------------------
--------------------------- LISTA SOUJAVA ---------------------------
http://www.soujava.org.br - Sociedade de Usu�rios Java da Sucesu-SP
[d�vidas mais comuns: http://www.soujava.org.br/faq.htm]
[para sair da lista: http://www.soujava.org.br/forum/cadastrados.htm]
[regras da lista: http://www.soujava.org.br/regras.htm]
---------------------------------------------------------------------
RES: [SouJava-J] ?modelo de seguranca com session
Evandro Vin�cius Cordeiro de Miranda Wed, 07 Jun 2000 12:19:14 -0700
- RES: [SouJava-J] ?modelo de seguranca... Evandro Vin�cius Cordeiro de Miranda
- Evandro Vin�cius Cordeiro de Miranda
