我有一个在Tomcat 6.0.29上运行的Java应用程序,前面有Apache 2.2.3。 登录页面使用HTTPS,而大多数页面使用HTTP。
如果用户尝试访问受登录保护的页面(HTTP),则会将其重定向到登录页面(HTTPS),登录,然后重定向回原始请求的页面。 这很好用,因为JSESSIONID cookie设置为非安全,并用于HTTP和HTTPS。
但是,如果用户在登录页面(HTTPS)启动,则JSESSIONID cookie设置为Secure,因此在重定向到HTTP下的页面时,登录后会话不可用,强制新会话并重定向到登录页面再次。这次它可以工作,因为这次JSESSIONID cookie被设置为非安全。
如何避免用户首次登录登录页面时必须登录两次?
答案 0 :(得分:7)
(更新:为清晰起见)从登录开始Http get / post使用https并在用户登录的会话中使用https。
仅在没有登录用户时使用Http。
有一个原因是cookie不允许跨越协议边界 - 它是一个攻击媒介! (*见下面的更新)
如何做这个非常糟糕的主意
如果你真的坚持,请将重定向中的jsessionId编码为http url(或始终在url中编码jsession id)。当Tomcat获得http重定向时,tomcat应该找到会话并继续。
为什么你不应该这样做
严重的是,任何在同一页面上混合使用https和http内容的网站只是为了各种有趣(和简单)的攻击而开放。
来自https以保持登录"安全"如果会话的其余部分是明文的,那就毫无意义了。那么用户名/密码(可能只是密码)受到什么保护?
使用广受欢迎的中间人攻击,攻击者只需复制会话ID并使用它来获得乐趣。由于大多数网站都不会使会话保持活动状态,因此MIM实际上具有完全访问权限,就好像他们有密码一样。
如果您认为https在性能方面看起来很昂贵here,或者只是搜索。将https性能提高到可接受的最简单方法是确保服务器在连接上设置keep-alive。
更新1: 有关详情,请参阅Session Hijacking或Http Cookie Theft
更新2: 有关如何快速轻松地执行此操作,请参阅Firesheep Firefox plugin。