В моем web.xml ямы определили ограничение пользовательских данных для некоторых ресурсов:

    
        Personal Area
        /personal/*
    
    
        User Area
        /user/*
    
    
        CONFIDENTIAL
    

Когда я загружаю страницу с http, яу меня есть мой JSESSIONID ID1 в моем cookie.Когда я перехожу на context / user / sample.faces, Tomcat перенаправляет 302 на HTTPS. Но мой JSESSIONID по-прежнему ID1.

Я думаю, что это уязвимость? Или это моя ошибка конфигурации?

Проблема, которую я вижу, заключается в следующем: при просмотре по HTTP с cookie ID1 есть злоумышленник, который прослушивает мой сетевой трафик. Он "перехватывает» мой cookie ID1. Теперь я переключаюсь на HTTPS, и мой cookie все еще ID1. Я вхожу Затем злоумышленник может перехватить мою сессию, потому что он знает мое печенье ...