Scadenza sessione dovuta a weblogic.xml per la mitigazione del dirottamento dei cookie? [chiuso]

1

Per garantire la massima sicurezza dell'applicazione web, abbiamo cercato di mitigare il dirottamento dei cookie aggiungendo codice a weblogic.xml. Di seguito è riportato ciò che abbiamo fatto:

Esempio che abbiamo applicato a weblogic.xml e al problema relativo alla scadenza della sessione.

  <param-name>CookieName</param-name>

  <param-value>I</param-value>

     </session-param>

        <cookie-secure >true</cookie-secure>

     <!--<cookie-http-only>true</cookie-http-only>-->

Abbiamo implementato questa linea per garantire i cookie sicuri:

<cookie-secure >true</cookie-secure>

Tuttavia, a causa di questo, ci troviamo di fronte alla scadenza della sessione e stavo cercando una soluzione alternativa per mantenere i cookie protetti - esiste una soluzione alternativa per il cookie sicuro?

EDIT: stiamo usando queste versioni e altri dettagli. Le risposte iniziali fornite non supportano la documentazione qui .

Server info: WebLogic Server 10.3 Fri Jul 25 16:30:05 EDT 2008 1137967
Servlet version: 2.5
JSP version: 2.1
Java version: 1.6.0_05
Server

Avevo bisogno di una soluzione attorno a questa configurazione.

    
posta Shritam Bhowmick 04.11.2015 - 19:27
fonte

1 risposta

1

Non sono sicuro di aver compreso completamente il problema, ma qui ci sono i miei suggerimenti:

Se il flag HTTPOnly Cookie è impostato, allora:

 {
 <session-config>
 <cookie-config>
 <http-only>true</http-only>
 </cookie-config>
 </session-config>
 }

Se l'ID sessione viene trasmesso in un parametro URL, prova a scaricarlo e controlla se c'è un contatore in esecuzione su di esso:

 {
 <session-config>
 <tracking-mode>COOKIE</tracking-mode>
 </session-config>
 }

Successivamente, prova ad aumentare il tempo di scadenza e poi prova a migrarlo in modo sicuro. Se non è configurato bene, potresti essere in grado di:

Aumenta il tempo di scadenza:

 {
 <session-config>
 <session-timeout>Time Period(In minutes)</session-timeout>
 </session-config>
 }

Si prega di avvisare se ho capito la domanda in modo errato.

    
risposta data 07.11.2015 - 07:27
fonte

Leggi altre domande sui tag