Если вы поместите сидящий Paros в трафик между вашим браузером и веб-приложением, размещенным в WebSphere, вам будет передано два идентификатора сеанса как часть раздела cookie HTTP-запроса:
JSESSIONID.Насколько я могу судить, это ваш HTTPSession ID.Токен LTPA2.Это ваш сеанс «единого входа» в отношении веб-сферы.
Теперь IBM говорит, что одно размещенное приложение не может аннулировать токен LTPA2, когда пользователь выходит из системы.Мысль, стоящая за этим, заключается в том, что это идентификатор единого входа, поэтому одно приложение не должно иметь возможности сделать его недействительным, так как оно предназначено для использования в нескольких приложениях.В WAS нет конфигурации для объявления «в этой среде размещается только одно приложение, поэтому приложение может сделать недействительным токен LTPA2».
Что беспокоит, так это то, что эти сеансы LTPA2 задерживаются в течение настраиваемого промежутка времени.Поэтому, если другой пользователь получил дескриптор токена LTPA2 пользователя, он может использовать его для доступа к сеансу этих пользователей и, следовательно, к их конфиденциальным данным.
Вы можете запретить человеку в средней атаке перехватить сеансзначение путем принудительной передачи cookie по протоколу SSL и указания HTTP только для файлов cookie.Тем не менее, я все еще беспокоюсь о том, что куки доступны на жестком диске локальных компьютеров.Браузер должен где-то хранить его, поэтому должен быть способ получить к нему доступ?
Мой вопрос: может ли кто-нибудь получить значение LTPA2, подобное этому, с жесткого диска??Скажем, кто-то садится в библиотеке, входит в систему онлайн-банкинга, выполняет какую-то работу и затем выходит из системы.Может ли следующий пользователь каким-то образом получить токен LTPA2?
Я пытался искать в каталогах, где, как я думал, FireFox 4 и IE8 сохраняли cookie, но не мог сопоставить шаблон со значением.Мой инстинкт инстинкта заключается в том, что возможно найти эти данные в определенных браузерах?