Как предотвратить угон сеанса tomcat?
В моем web.xml ямы определили ограничение пользовательских данных для некоторых ресурсов:
Personal Area
/personal/*
User Area
/user/*
CONFIDENTIAL
Когда я загружаю страницу с http, яу меня есть мой JSESSIONID ID1 в моем cookie.Когда я перехожу на context / user / sample.faces, Tomcat перенаправляет 302 на HTTPS. Но мой JSESSIONID по-прежнему ID1.Я думаю, что это уязвимость? Или это моя ошибка конфигурации?
Проблема, которую я вижу, заключается в следующем: при просмотре по HTTP с cookie ID1 есть злоумышленник, который прослушивает мой сетевой трафик. Он "перехватывает» мой cookie ID1. Теперь я переключаюсь на HTTPS, и мой cookie все еще ID1. Я вхожу Затем злоумышленник может перехватить мою сессию, потому что он знает мое печенье ...