3

如果您将 Paros 放在浏览器和 WebSphere 中托管的 Web 应用程序之间的流量上,您将有两个会话标识符作为 HTTP 请求的 cookie 部分的一部分传递:

一个 JSESSIONID。据我所知,这是您的 HTTPSession ID。LTPA2 令牌。就 websphere 而言,这是您的“单点登录”会话。

现在,IBM 表示,当用户退出时,单个托管应用程序不能使 LTPA2 令牌无效。这背后的想法是它是一个 SSO 标识符,因此单个应用程序不应使其无效,因为它旨在跨多个应用程序使用。WAS 中没有配置声明“此环境仅托管一个应用程序,因此该应用程序可以使 LTPA2 令牌无效”。

令人担忧的是,这些 LTPA2 会话会停留一段可配置的时间。因此,如果另一个用户获得了用户的 LTPA2 令牌的句柄,他们可以使用它来访问该用户的会话,从而访问他们的敏感数据。

您可以通过强制通过 SSL 传输 cookie 以及为 cookie 指定 HTTP 来防止中间人攻击捕获会话值。但是,我仍然担心本地机器硬盘上的 cookie 可用。浏览器必须将它存储在某个地方,因此必须有一种方法可以访问它?

我的问题是,是否有人可以从硬盘驱动器中获得这样的 LTPA2 值?假设有人坐在图书馆里,登录他们的网上银行,做一些工作然后退出。下一个用户是否有可能以某种方式获得 LTPA2 令牌?

我尝试搜索我认为 FireFox 4 和 IE8 将存储 cookie 的目录,但无法匹配该值。我的直觉是,有可能在某些浏览器上找到这些数据?

4

2 回答 2

4

默认情况下,LTPA2 令牌是一个“会话 Cookie”Websphere 不会对该 cookie 设置过期时间,它只是存储在浏览器内存中,直到用户关闭浏览器。

除非您的客户端显式手动提取该 cookie 并将其存储在客户端,否则它将不会存储在用户计算机上的任何文件中。

于 2011-07-04T22:38:30.803 回答
0

如果您愿意,可以使 LTPA 令牌无效。

但这需要使用 IBM 扩展(自然)

看看这些:

(a) http://www.ibm.com/developerworks/websphere/techjournal/1003_botzum/1003_botzum.html

LTPA 令牌是非标准的,只是一个凭证/令牌,不会影响应用程序开发团队。重定向到 ibm_security_logout URL 以便在用户注销时除去 LTPA 令牌。

(b) ftp://ftp.software.ibm.com/software/dw/wes/0409_botzum/WAS-511-Security-AdvancedTopics.pdf

尽管这些文章很旧,但它们应该仍然有效(因为这些基础知识多年来没有太大变化)

通过使 LTPA 令牌(正如 Terrell 在“内存会话 cookie”中提到的那样)无效,您所有的担忧都应该消失了。HTH芒鲁

于 2011-07-05T03:25:45.050 回答