Die Anmeldeseite verwendet SSL, unverschlüsselte Seiten sehen kein verschlüsseltes Sitzungscookie (Grails, Acegi)
https://stackoverflow.com/questions/988046
-
13-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Aufstellen:Grails 1.1, Acegi/Spring Security-Plug-in
Ich möchte, dass sich Benutzer über SSL anmelden, daher habe ich „/login/**“ in meiner Liste „channelConfig.secure[], aber fast alles andere befindet sich in „channelConfig.insecure[].Jede Anfrage nach /login wird an https:// umgeleitet und jede andere Anfrage wird an http:// umgeleitet.
Mein Problem besteht darin, dass der Anmeldevorgang das Cookie auf „Nur über verschlüsselte Verbindungen senden“ setzt. Wenn die Anmeldeseite also zu /home umleitet, sieht die Startseite das Cookie nicht und leitet mich zurück zur Zielseite.Wenn ich versuche, mich erneut anzumelden, sieht die Anmeldeseite das Cookie und leitet mich weiter ... usw.
Ich habe durchgestöbert Diese Seite über SecurityConfig Ich habe nachgeschaut, ob es eine Option gibt, mit der über SSL erstellte Cookies über unverschlüsseltes HTTP gelesen werden können, aber ich habe nichts gefunden.Gibt es eine Option, die ich festlegen kann, um mein Anmelde-Cookie meinen unverschlüsselten Controllern zur Verfügung zu stellen?
Lösung
Dies wäre eine Schwachstelle.
Jeder Man-in-the-Middle, der das Sitzungscookie sehen kann, könnte als Benutzer Anfragen stellen.Das ist fast so schlimm wie das Abfangen des Passworts.Der Man-in-the-Middle wäre nicht in der Lage, selbst neue Sitzungen einzurichten, aber er könnte alles tun, was der Benutzer tun kann, sobald sich ein Benutzer anmeldet.
Die Verwendung von SSL bietet viel mehr als nur das Verbergen des Benutzernamens und des Passworts beim Anmelden.
Erstens sorgt es für Vertraulichkeit aller Nachrichten zwischen Client und Server.Es ist leicht, das Passwort als vertrauliche Daten zu erkennen, aber es ist möglicherweise nicht so offensichtlich, welche Anwendungsfunktionen ebenfalls vertrauliche Daten verwenden.Der Schutz von Benutzereingaben und dynamisch generierten Inhalten ist sicherer und einfacher als der Versuch, die Datenschutzprobleme jedes in Ihrer Anwendung verwendeten Datenfelds sorgfältig zu prüfen.Statische Inhalte wie Bilder, Hilfeseiten usw. sind wahrscheinlich nicht so vertraulich, aber durch die Analyse von Anfragen für diese Inhalte könnte ein Angreifer eine gute Vorstellung davon bekommen, was ein Benutzer auf der Website tut.
Zweitens sorgt SSL für Integrität bei jeder Anfrage.Dadurch wird verhindert, dass ein Angreifer seine eigenen schädlichen Eingaben an Benutzeranfragen ändert oder anhängt oder die vom Server erzeugten Ergebnisse ändert.
