Гость
Войти | Профиль | Очистить
Целевая тема:
Создать новую тему:
Автор:
Действия ...
Форумы / Java [игнор отключен] [закрыт для гостей] / id сессии не меняется после инвалидации в sap netweaver / 14 сообщений из 14, страница 1 из 1
08.05.2014, 10:00
    #38636254
romanj
romanj
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
id сессии не меняется после инвалидации в sap netweaver
Добрый день, может быть кто то сталкивался


при установке приложения на сервер дает ошибку

log fail:
Your servlet container did not change the session ID when a new session was created. You will not be adequately protected against session-fixation attacks


пробовал работать с этим http://scn.sap.com/blogs/sro/2012/05/10/implementing-secure-session-management-for-sap-netweaver-java-web-application-solutions

но не помогает
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
08.05.2014, 11:00
    #38636373
календаревед
календаревед
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
id сессии не меняется после инвалидации в sap netweaver
romanj,
Может быть приложение использует не совсем корректный способ для проверки активности данной функции, например, привязанный к особенностям её реализации в Tomcat, а у тебя, судя по ссылке на статью, SAP ...? Вот из этой темы можно предположить, что проверяется просто одно из системных свойств.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
08.05.2014, 11:17
    #38636403
Blazkowicz
Blazkowicz
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
id сессии не меняется после инвалидации в sap netweaver
romanj,

Оно на основе JBoss реализовано? Или Tomcat? Поверхностое гугление по тексту ошибки выдаёт вполне конкретный рецепт для насройки этих серверов. На сколько я понял, проблема в том, что когда юзер логиниться при ещё валидной сессии, сервер ему может отдать эту же сессию. Это не достаточно безопасно, о чем и сообщает warning.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
08.05.2014, 11:27
    #38636443
romanj
romanj
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
id сессии не меняется после инвалидации в sap netweaver
реализовано на основе Tomcat
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
08.05.2014, 11:28
    #38636445
Blazkowicz
Blazkowicz
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
id сессии не меняется после инвалидации в sap netweaver
romanjреализовано на основе Tomcat
https://community.jboss.org/message/592626#592626
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
08.05.2014, 14:50
    #38636873
romanj
romanj
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
id сессии не меняется после инвалидации в sap netweaver
1.изменил в catalina.sh

CATALINA_OPTS="org.apache.catalina.connector.Request.SESSION_ID_CHECK=true"

2.сделал рестарт приложения на томкате

3.поставил на сервер

4.ошибка

Your servlet container did not change the session ID when a new session was created. You will not be adequately protected against session-fixation attacks
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
08.05.2014, 14:56
    #38636884
Blazkowicz
Blazkowicz
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
id сессии не меняется после инвалидации в sap netweaver
romanj,

Сорь. Похоже это фишка исключительно JBoss. В отдельном Tomcat я что-то этого поля не вижу.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
08.05.2014, 15:11
    #38636910
календаревед
календаревед
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
id сессии не меняется после инвалидации в sap netweaver
Не работает смена ID или "некое приложение думает что она не работает". Проверить легко - использовав другое простейшее приложение (как я понимаю, это просто не запускается?) и какой-нибудь сниффер http.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
08.05.2014, 15:24
    #38636929
romanj
romanj
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
id сессии не меняется после инвалидации в sap netweaver
не очень понял, приложения отлично работает на Tomcat.
при авторизации пользователя происходит замена сессии.
но на сервере sap netweaver не дает это сделать.
может быть надо подкрутить где то на sap netweaver
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
08.05.2014, 15:25
    #38636932
Blazkowicz
Blazkowicz
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
id сессии не меняется после инвалидации в sap netweaver
romanj,

stacktrace есть?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
08.05.2014, 15:27
    #38636934
Blazkowicz
Blazkowicz
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
id сессии не меняется после инвалидации в sap netweaver
Приведенный текст ошибки это просто предупреждение из спрингового SessionFixationProtectionStrategy.
Что именно не работает, и есть ли что-то ещё в логе?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
08.05.2014, 15:29
    #38636938
Blazkowicz
Blazkowicz
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
id сессии не меняется после инвалидации в sap netweaver
А это установлено?
авторSessionIdRegenerationEnabled (set to “true”) – in order to ensure that session identifiers are regenerated at log-in as well as mitigate further security risks. This parameter would generate a second session id which would be set as a cookie called “JSESSIONMARKID”. This new session id would be regenerated whenever the user authenticates or moves to another application on the same application server.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
13.05.2014, 14:47
    #38639841
romanj
romanj
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
id сессии не меняется после инвалидации в sap netweaver
разбирался c SAP,проверил SessionIdRegenerationEnabled DefaultCalculatedValue=true
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
13.05.2014, 15:13
    #38639880
romanj
romanj
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
id сессии не меняется после инвалидации в sap netweaver
SecuritySessionIdDomain DefaultCalculateValue=NONE. может быть надо указать точно домен?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
Форумы / Java [игнор отключен] [закрыт для гостей] / id сессии не меняется после инвалидации в sap netweaver / 14 сообщений из 14, страница 1 из 1
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение  
Полит. конфиден.  
созд. / загр.: 389ms
Закрыть
start [/forum/topic.php?fid=59&mobile=1&tid=2127193]:
 0ms
get settings:
 4ms
get forum list:
 8ms
check forum access:
 2ms
check topic access:
 2ms
track hit:
 145ms
get topic data:
 6ms
get forum data:
 1ms
get page messages:
 25ms
get tp. blocked users:
 1ms
others: 195ms
total:  389ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]