я могу обнаружить токен LTPA2 других пользователей на машине / в браузере? - PullRequest
3 голосов
/ 05 июля 2011

Если вы поместите сидящий Paros в трафик между вашим браузером и веб-приложением, размещенным в WebSphere, вам будет передано два идентификатора сеанса как часть раздела cookie HTTP-запроса:

JSESSIONID.Насколько я могу судить, это ваш HTTPSession ID.Токен LTPA2.Это ваш сеанс «единого входа» в отношении веб-сферы.

Теперь IBM говорит, что одно размещенное приложение не может аннулировать токен LTPA2, когда пользователь выходит из системы.Мысль, стоящая за этим, заключается в том, что это идентификатор единого входа, поэтому одно приложение не должно иметь возможности сделать его недействительным, так как оно предназначено для использования в нескольких приложениях.В WAS нет конфигурации для объявления «в этой среде размещается только одно приложение, поэтому приложение может сделать недействительным токен LTPA2».

Что беспокоит, так это то, что эти сеансы LTPA2 задерживаются в течение настраиваемого промежутка времени.Поэтому, если другой пользователь получил дескриптор токена LTPA2 пользователя, он может использовать его для доступа к сеансу этих пользователей и, следовательно, к их конфиденциальным данным.

Вы можете запретить человеку в средней атаке перехватить сеансзначение путем принудительной передачи cookie по протоколу SSL и указания HTTP только для файлов cookie.Тем не менее, я все еще беспокоюсь о том, что куки доступны на жестком диске локальных компьютеров.Браузер должен где-то хранить его, поэтому должен быть способ получить к нему доступ?

Мой вопрос: может ли кто-нибудь получить значение LTPA2, подобное этому, с жесткого диска??Скажем, кто-то садится в библиотеке, входит в систему онлайн-банкинга, выполняет какую-то работу и затем выходит из системы.Может ли следующий пользователь каким-то образом получить токен LTPA2?

Я пытался искать в каталогах, где, как я думал, FireFox 4 и IE8 сохраняли cookie, но не мог сопоставить шаблон со значением.Мой инстинкт инстинкта заключается в том, что возможно найти эти данные в определенных браузерах?

Ответы [ 2 ]

4 голосов
/ 05 июля 2011

По умолчанию токеном LTPA2 является «Session Cookie». Websphere не устанавливает срок действия этого cookie, и он просто сохраняется в памяти браузера до тех пор, пока пользователь не закроет свой браузер.

Если ваш клиент явно не извлекает этот cookie вручную и не хранит его на стороне клиента, он не будет храниться ни в каких файлах на компьютере пользователя.

0 голосов
/ 05 июля 2011

Вы можете аннулировать токен LTPA, если хотите.

Но для этого потребуется использовать расширения IBM (естественно)

Посмотрите на это:

(a) http://www.ibm.com/developerworks/websphere/techjournal/1003_botzum/1003_botzum.html

Маркер LTPA не является стандартным, но это просто учетная запись / токен и не влияет на команду разработчиков приложений.Перенаправляет на URL-адрес ibm_security_logout, чтобы удалить токен LTPA при выходе пользователя из системы.

(b) ftp: //ftp.software.ibm.com/software/dw/wes/0409_botzum/WAS-511-Security-AdvancedTopics.pdf

Хотя эти статьи старые, они все равно должны работать (поскольку эти основы не сильно изменились за последние годы)

Путем аннулированияТокен LTPA (который, как Террелл упомянул в «файле cookie сеанса в памяти»), все ваши опасения, которые у вас были, должны исчезнуть.HTH Manglu

...