Bir kuruluş için güvenli bir web sitesi geliştiriyorum. Bilinen tüm güvenlik açıklarından mükemmel şekilde korunmasını istiyorum. Güvenli çerezler oluşturmaya ve HTTPOnly'yi etkinleştirmeye rastladım, ancak bu örnekte bir oturum kimliğiyle çerez değeri kullanıyorlardı. Anlamadım Bu şekilde kullanmak bir tehdit oluşturmaz mı?Çerezde oturum kimliği kaydetme kavramı nedir?
İstemciden oturuma gelen istekleri eşleştirmek için bir oturum kimliği istemciye ve sunucuya geri göndermeniz gerekir.
AFAIK, oturum kimliğini iletmenin yalnızca iki yolu vardır: Çerez veya parametre olarak (çoğu durumda, istekleri desteklemek için bir URL parametresi olur). Oturum kimliğini parametre aracılığıyla gönderme, bir saldırganın öntanımlı bir oturum kimliğiyle (oturum sabitleme) bağlantı kurabileceğinden bir güvenlik açığıdır; zira çerezlerle aynı şeyi yapmak en azından zor olsa da (imkansız değilse).
Oturum kimliğini url parametreleriyle göndermek, yalnızca bir güvenlik sorunu olmakla kalmaz. Birisinin URL'yi kopyalar ve birisine gönderir ("şuna bak") veya web'de bir yere gönderdiğinizi varsayalım. Oturum mevcut olduğu sürece, bu bağlantıya erişen herkes aynı seansı kullanır ve birbirleriyle iftihar eder. Verilmişse, bir kullanıcıyı oturumdan bağımsız olarak tanımlamanın yolları vardır (ip, mac adresi vb.) Ancak bu önlemler çoğu zaman uygulanabilir değildir veya başka kısıtlamalar getirmez (örneğin, gezici mobil kullanıcıları nasıl yönetirsiniz?).
Harika bir açıklama için teşekkürler. Ardından, sözüm ona, java servlet'te cookie tarafından geçirilen oturum kimliğiyle bir oturum oluşturmalı ve daha fazla manipülasyon için bu oluşturulan oturum kimliğini kullanmalıyım. – user2695448
@ user2695448 Uygulamanızdaki oturuma erişmeniz gerekiyorsa, evet, oturum kimliğini bir çerezde geçirirsiniz ve her isteği isteğinizi çerez değerine göre ilişkilendirirsiniz. Bu normalde zaten Tomcat gibi standart web sunucuları tarafından ele alınmalıdır. vb. Eğer bir seansa ihtiyacınız yoksa, yani her şey sadece okunur veya uygulamanız tüm görüş durumunu/seansı müşteriye ve geri geçirir, o zaman bunu yapmanıza gerek yoktur. – Thomas
Bize mi soruyorsunuz? Neden bir tehdit olacağını düşünüyorsun? – Kayaman
evet Oturum kimliğinin oturumun kendisinden alınabileceği için çerezde oturum kimliği göndermenin nedenini bilmem gerekiyor. – user2695448
Oturum kimliğiniz yoksa (örneğin bir çerezde), oturumu ve kimliğini nereden alabileceğinizi düşünüyorsunuz? Sihirli? – Kayaman