如果您将 Paros 放在浏览器和托管在 WebSphere 中的 Web 应用程序之间的流量上,您将有两个 session 标识符作为 HTTP 请求的 cookie 部分的一部分传递:

一个 JSESSIONID。据我所知,这是您的 HTTPSession ID。
一个 LTPA2 token 。就 websphere 而言,这是您的“单点登录” session 。

现在,IBM 表示,当用户注销时,单个托管应用程序无法使 LTPA2 token 无效。这背后的想法是它是一个 SSO 标识符,因此单个应用程序不应使其无效,因为它旨在跨多个应用程序使用。 WAS 中没有配置声明“此环境仅托管一个应用程序,因此该应用程序可以使 LTPA2 token 无效”。

令人担忧的是,这些 LTPA2 session 会在可配置的时间内徘徊。因此,如果另一个用户获得了用户的 LTPA2 token 的句柄,他们可以使用它来访问该用户的 session ,从而访问他们的敏感数据。

您可以通过强制通过 SSL 传输 cookie 并仅为 cookie 指定 HTTP 来防止中间人攻击捕获 session 值。但是,我仍然担心本地计算机的硬盘驱动器上的 cookie 是否可用。浏览器必须将它存储在某个地方,因此必须有一种方法可以访问它?

我的问题是,是否有人可以从硬盘驱动器获得这样的 LTPA2 值?假设有人坐在图书馆里,登录他们的网上银行,做一些工作,然后退出。下一个用户是否有可能以某种方式获得 LTPA2 token ?

我尝试搜索我认为 FireFox 4 和 IE8 将存储 cookie 的目录,但无法模式匹配该值。我的直觉是有可能在某些浏览器上找到这些数据?

最佳答案

默认情况下,LTPA2 token 是一个“ session Cookie”,Websphere 不会在该 cookie 上设置过期时间,它只是存储在浏览器内存中,直到用户关闭浏览器。

除非您的客户端明确手动提取该 cookie 并将其存储在客户端,否则它不会存储在用户机器上的任何文件中。

关于security - 我可以在机器上/浏览器中发现另一个用户的 LTPA2 token 吗?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/6576322/

10-15 12:19