Entrar Ainda não tem acesso?
Solucionado (ver solução)
Solucionado
(ver solução)
4
respostas

Segurança do J SESSIONID

Referente ao curso Spring MVC II: Integração, cache, segurança e templates

por Stéfano Flávio
| 52.2k xp | 3 posts
Analista de Sistemas

Olá Amigos, boa tarde!

No capitulo 4 "Personalizando Login e Logout", mostra que é criado um cookie de sessão com o nome JSESSIONID. Eu fiz um teste, peguei esse cookie JSESSIONID de uma sessão logada e apliquei esse mesmo cookie em um outro navegador e com isso eu recuperei a sessão sem precisar logar novamente. É correto acontecer isso ? Isso não pode ocasionar problemas de segurança para a aplicação?

4 respostas
por Alberto Souza
| 2676.6k xp | 5740 posts
Instrutor Desenvolvedor e Instrutor

Oi Stéfano, foi correto sim => https://pt.wikipedia.org/wiki/Session_hijacking

por Stéfano Flávio
| 52.2k xp | 3 posts
Analista de Sistemas

Olá Alberto

Então, pelo que eu entendi isso é um problema comum nas aplicações em geral. E a única forma de se resolver seria usando https ? Ou mesmo assim ainda continuaria com essa vulnerabilidade? Isso ficou um pouco confuso pra mim.

Obrigado pela sua atenção

solução!
por Alberto Souza
| 2676.6k xp | 5740 posts
Instrutor Desenvolvedor e Instrutor

Ainda teria... Você vai enviar o cookie roubado do mesmo jeito.. agora claro, para alguém roubar sua sessão não é tão trivial... Então é um ponto para se preocupar, mas nada sério enquanto sua app não virar alvo de outras pessoas :).

por Stéfano Flávio
| 52.2k xp | 3 posts
Analista de Sistemas

Obrigado Alberto :)