ReSQL.ru
     
powered by simpleCommunicator - 2.0.61     © 2026 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / Java [игнор отключен] [закрыт для гостей] / id сессии не меняется после инвалидации в sap netweaver
14 сообщений из 14, страница 1 из 1
id сессии не меняется после инвалидации в sap netweaver
    #38636254
romanj
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
romanj
Участник
Добрый день, может быть кто то сталкивался


при установке приложения на сервер дает ошибку

log fail:
Your servlet container did not change the session ID when a new session was created. You will not be adequately protected against session-fixation attacks


пробовал работать с этим http://scn.sap.com/blogs/sro/2012/05/10/implementing-secure-session-management-for-sap-netweaver-java-web-application-solutions

но не помогает
...
Рейтинг: 0 / 0
08.05.2014, 10:00
| Ответить | Цитировать | Написать  
id сессии не меняется после инвалидации в sap netweaver
    #38636373
календаревед
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
календаревед
Гость
romanj,
Может быть приложение использует не совсем корректный способ для проверки активности данной функции, например, привязанный к особенностям её реализации в Tomcat, а у тебя, судя по ссылке на статью, SAP ...? Вот из этой темы можно предположить, что проверяется просто одно из системных свойств.
...
Рейтинг: 0 / 0
08.05.2014, 11:00
| Ответить | Цитировать | Написать  
id сессии не меняется после инвалидации в sap netweaver
    #38636403
Фотография Blazkowicz
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Blazkowicz
Участник
romanj,

Оно на основе JBoss реализовано? Или Tomcat? Поверхностое гугление по тексту ошибки выдаёт вполне конкретный рецепт для насройки этих серверов. На сколько я понял, проблема в том, что когда юзер логиниться при ещё валидной сессии, сервер ему может отдать эту же сессию. Это не достаточно безопасно, о чем и сообщает warning.
...
Рейтинг: 0 / 0
08.05.2014, 11:17
| Ответить | Цитировать | Написать  
id сессии не меняется после инвалидации в sap netweaver
    #38636443
romanj
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
romanj
Участник
реализовано на основе Tomcat
...
Рейтинг: 0 / 0
08.05.2014, 11:27
| Ответить | Цитировать | Написать  
id сессии не меняется после инвалидации в sap netweaver
    #38636445
Фотография Blazkowicz
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Blazkowicz
Участник
romanjреализовано на основе Tomcat
https://community.jboss.org/message/592626#592626
...
Рейтинг: 0 / 0
08.05.2014, 11:28
| Ответить | Цитировать | Написать  
id сессии не меняется после инвалидации в sap netweaver
    #38636873
romanj
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
romanj
Участник
1.изменил в catalina.sh

CATALINA_OPTS="org.apache.catalina.connector.Request.SESSION_ID_CHECK=true"

2.сделал рестарт приложения на томкате

3.поставил на сервер

4.ошибка

Your servlet container did not change the session ID when a new session was created. You will not be adequately protected against session-fixation attacks
...
Рейтинг: 0 / 0
08.05.2014, 14:50
| Ответить | Цитировать | Написать  
id сессии не меняется после инвалидации в sap netweaver
    #38636884
Фотография Blazkowicz
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Blazkowicz
Участник
romanj,

Сорь. Похоже это фишка исключительно JBoss. В отдельном Tomcat я что-то этого поля не вижу.
...
Рейтинг: 0 / 0
08.05.2014, 14:56
| Ответить | Цитировать | Написать  
id сессии не меняется после инвалидации в sap netweaver
    #38636910
календаревед
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
календаревед
Гость
Не работает смена ID или "некое приложение думает что она не работает". Проверить легко - использовав другое простейшее приложение (как я понимаю, это просто не запускается?) и какой-нибудь сниффер http.
...
Рейтинг: 0 / 0
08.05.2014, 15:11
| Ответить | Цитировать | Написать  
id сессии не меняется после инвалидации в sap netweaver
    #38636929
romanj
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
romanj
Участник
не очень понял, приложения отлично работает на Tomcat.
при авторизации пользователя происходит замена сессии.
но на сервере sap netweaver не дает это сделать.
может быть надо подкрутить где то на sap netweaver
...
Рейтинг: 0 / 0
08.05.2014, 15:24
| Ответить | Цитировать | Написать  
id сессии не меняется после инвалидации в sap netweaver
    #38636932
Фотография Blazkowicz
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Blazkowicz
Участник
romanj,

stacktrace есть?
...
Рейтинг: 0 / 0
08.05.2014, 15:25
| Ответить | Цитировать | Написать  
id сессии не меняется после инвалидации в sap netweaver
    #38636934
Фотография Blazkowicz
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Blazkowicz
Участник
Приведенный текст ошибки это просто предупреждение из спрингового SessionFixationProtectionStrategy.
Что именно не работает, и есть ли что-то ещё в логе?
...
Рейтинг: 0 / 0
08.05.2014, 15:27
| Ответить | Цитировать | Написать  
id сессии не меняется после инвалидации в sap netweaver
    #38636938
Фотография Blazkowicz
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Blazkowicz
Участник
А это установлено?
авторSessionIdRegenerationEnabled (set to “true”) – in order to ensure that session identifiers are regenerated at log-in as well as mitigate further security risks. This parameter would generate a second session id which would be set as a cookie called “JSESSIONMARKID”. This new session id would be regenerated whenever the user authenticates or moves to another application on the same application server.
...
Рейтинг: 0 / 0
08.05.2014, 15:29
| Ответить | Цитировать | Написать  
id сессии не меняется после инвалидации в sap netweaver
    #38639841
romanj
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
romanj
Участник
разбирался c SAP,проверил SessionIdRegenerationEnabled DefaultCalculatedValue=true
...
Рейтинг: 0 / 0
13.05.2014, 14:47
| Ответить | Цитировать | Написать  
id сессии не меняется после инвалидации в sap netweaver
    #38639880
romanj
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
romanj
Участник
SecuritySessionIdDomain DefaultCalculateValue=NONE. может быть надо указать точно домен?
...
Рейтинг: 0 / 0
13.05.2014, 15:13
| Ответить | Цитировать | Написать  
14 сообщений из 14, страница 1 из 1
Форумы / Java [игнор отключен] [закрыт для гостей] / id сессии не меняется после инвалидации в sap netweaver
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение   Полит. конфиден.  
NoSQL.ru       Кролег: Проекты, Новости, Чат       РЕД ФОРУМ       Фотоальбом: Участники, Встречи
Закрыть
start [/forum/topic.php?fid=59&msg=38636910&tid=2127193]:
 0ms
get settings:
 9ms
get forum list:
 15ms
check forum access:
 3ms
check topic access:
 3ms
track hit:
 200ms
get topic data:
 14ms
get forum data:
 2ms
get page messages:
 42ms
get tp. blocked users:
 1ms
others: 240ms
total:  529ms
созд. / загр.: 529ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]