Какой вред, если JSESSIONID выставлен в HTTP?

Question

Какой вред, если JSESSIONID выставлен в HTTP?

Просто любопытно, можно ли запустить олицетворенную атаку с помощью JSESSIONID, если cookie-файлы JSESSIONID открыты в канале связи HTTP, несмотря на то, что Auth Cookie уже включен?

Разве интернет-логика позволяет это?

Спасибо!

0

oracle cookies single-sign-on weblogic jsessionid

Источник

user1664831 05 окт '16 в 07:46

1 ответ

Другие вопросы по тегам oracle cookies single-sign-on weblogic jsessionid

user592015 05 окт '16 в 16:53 2016-10-05 16:53 · Answer 1 · 2016-10-05 16:53

При использовании Auth Cookie сервер WebLogic отправляет в браузер новый безопасный файл cookie _WL_AUTHCOOKIE_JSESSIONID при аутентификации через HTTPS- соединение.

Если у вас есть только HTTP, у вас будет только JSESSIONID, который не является безопасным cookie

Стоит проверить, может ли кто-нибудь, кто просто знает мой текущий JSESSIONID, выдать себя за / с помощью моей сессии (Tomcat 7/Glassfish 3.2))?

Так что ответ - да.