如果您在浏览器和WebSphere托管的Web应用程序之间的流量上放置Paros,您将有两个会话标识符作为HTTP请求的cookie部分的一部分传递:
JSESSIONID。据我所知,这是您的HTTPSession ID。 LTPA2令牌。就websphere而言,这是您的“单点登录”会话。
现在,IBM表示单个托管应用程序在用户注销时无法使LTPA2令牌无效。这背后的想法是它是一个SSO标识符,因此单个应用程序不应该使它无效,因为它旨在跨多个应用程序使用。 WAS中没有配置声明“此环境仅托管一个应用程序,因此该应用程序可以使LTPA2令牌无效”。
令人担忧的是,这些LTPA2会话在可配置的时间内流连。因此,如果另一个用户获得了用户的LTPA2令牌的句柄,他们可以使用它来访问该用户的会话,从而访问他们的敏感数据。
您可以通过强制通过SSL发送cookie的传输以及仅为cookie指定HTTP来防止中间人攻击中的人捕获会话值。但是,我仍然担心本地机器的硬盘上有cookie。浏览器必须将它存储在某个地方,因此必须有一种方法可以访问它吗?
我的问题是,有人可以从硬盘驱动器中获取此类LTPA2值吗?假设有人坐在图书馆,登录他们的网上银行,做一些工作,然后退出。下一个用户是否有可能以某种方式获得LTPA2令牌?
我尝试搜索我认为FireFox 4和IE8存储cookie的目录,但无法模式匹配该值。我的直觉是,有可能在某些浏览器上找到这些数据吗?
答案 0 :(得分:4)
默认情况下,LTPA2令牌是“会话Cookie”.Websphere不会在该Cookie上设置到期日期,并且它只会存储在浏览器内存中,直到用户关闭其浏览器。
除非您的客户明确手动提取该cookie并将其存储在客户端,否则它不会存储在用户计算机上的任何文件中。
答案 1 :(得分:0)
如果您愿意,可以使LTPA令牌无效。
但这需要使用IBM扩展(自然地)
看看这些:
(a)http://www.ibm.com/developerworks/websphere/techjournal/1003_botzum/1003_botzum.html
LTPA令牌是非标准的,但它只是一个凭证/令牌,不会影响应用程序开发团队。 重定向到ibm_security_logout URL,以便在用户注销时删除LTPA令牌。
(b)ftp://ftp.software.ibm.com/software/dw/wes/0409_botzum/WAS-511-Security-AdvancedTopics.pdf
虽然这些文章很旧,但这些文章仍然有用(因为这些基础知识多年来没有发生太大变化)
通过使LTPA令牌无效(正如Terrell在“内存会话cookie”中提到的那样),你所有的担忧都应该消失。 HTH Manglu