1. дома
  2. Вопрос и ответ
  3. Весенние файлы cookie безопасности после входа пользователя в систему и захвата сеанса

Весенние файлы cookie безопасности после входа пользователя в систему и захвата сеанса

2010-11-25 3 views
4

Насколько я понимаю, когда пользователь регистрируется в Spring Security, аннулирует сеанс и создает новый.
Итак, если я пришел из http с четким cookie sessionID, Spring Security должна установить новый безопасный cookie sessionID, который будет отправлен обратно браузером только при последующих запросах https.
Что мне не хватает, когда пользователь «вошел в систему» ​​переключился с https на http, поскольку там должен быть файл cookie sessionID, который хранится где-то в качестве небезопасного файла cookie, чтобы отслеживать сеанс.
Я не понимаю, как это управляет Весна.
После того, как пользователь вошел в систему, если он просматривает http, тогда ясный cookie sessionID будет таким же, как и безопасный SessionID, и не станет ли он видимым для всего мира? Кто-то может это прочитать и захватить сессию.
Я не понимаю, что поток Spring Security может объяснить мне, как это работает?
ThanksВесенние файлы cookie безопасности после входа пользователя в систему и захвата сеанса

источник

2010-11-25 mickthompson

ответ

0

Лучше всего не смешивать сеансы HTTP и HTTPS именно по этой причине. На самом деле, кажется, что регистрация в HTTPS, а затем возврат к HTTP не работает (поскольку браузер не отправит защищенный сеансовый файл cookie).

[...] сессии создали под HTTPS, для которого сеанс печенья помечен как «безопасный», не могут быть впоследствии использованы при HTTP. Браузер не отправит файл cookie обратно на сервер, и любое состояние сеанса будет потеряно (включая информацию о безопасности ). Запуск сеанса в HTTP первый должен работать как сеанс куки не будут помечены как безопасный (вы также должны отключить поддержку Session Закрепление Protection Spring Security для предотвращения его создания нового защищенного сеанса на входе (вы всегда можете создать новый сеанс на более позднем этапе). Обратите внимание: переключение между HTTP и HTTPS не является хорошей идеей в целом, поскольку любое приложение , которое использует HTTP вообще, уязвимо для человека, the-middle . Чтобы быть действительно безопасным, пользователь должен начать доступ к вашему сайту в HTTPS и продолжать использовать его до тех пор, пока они не выйдут из системы . Даже щелчок по ссылке HTTPS со страницы, доступной по HTTP, является потенциально опасным.

От http://static.springsource.org/spring-security/site/faq.html

источник

2011-03-03 03:00:10 Sig

Смежные вопросы

 Смежные вопросы