Spring Security / JSF / Hibernate Accidente de sesión accidental en Tomcat?
Me sucedió algo muy extraño y vergonzoso el otro día y no tengo palabras para describir lo que sucedió.
Mi aplicación ejecuta Spring 3 integrado con JSF 2.1, Hibernate 4, Spring Security, todo en Tomcat 7. Hablaba por teléfono con alguien importante de nivel C y ambos estábamos simultáneamente en el entorno de prueba al mismo tiempo en las mismas páginas. Fue a navegar a una página que estaba navegando en casi el mismo momento en que su página apareció con los detalles de mi cuenta personal. No le creí, así que me acerqué a su oficina y, por supuesto, de alguna manera se conectó como mi cuenta para la cual no tiene la contraseña.
La aplicación habrá protegido la información de salud del paciente, por lo que se me ordenó proporcionar un informe completo de nivel C con lo que había sucedido, pero no puedo encontrar cómo esto fue posible. Recorrí el código base y no encontré nada. Intenté reproducir el escenario exacto en múltiples ocasiones y nunca pude reproducirlo. Ni siquiera tengo una conjetura educada con la que estoy contento.
Creo que quizás haya habido algún tipo de operación de subproceso insegura en las sesiones almacenadas en la implementación del contexto de la aplicación Tomcat, pero no tengo forma de demostrarlo si no es reproducible. También pensé que, dado que Spring Security funciona como un filtro por delante de otras solicitudes y reenvía, tal vez haya interferido uno de los otros filtros de servlet. Los otros dos eran el filtro de carga de archivos de Primefaces y el filtro de Omnifaces SEO que había agregado recientemente.
El filtro Omnifaces de hecho interfirió con el filtro de carga de archivos de Primefaces que tuve que hacer con su configuración para que los dos jugaran bien el uno con el otro, así que todavía creo que eso podría ser una posibilidad.
¿Hay algún error conocido con Spring Security que haya causado problemas similares? ¿Hay problemas conocidos con Tomcat con respecto a la entrega accidental del estado de sesión incorrecto desde ApplicationContext? ¿Alguien más ha experimentado un problema similar o tiene una idea única de esto?
EDITAR: Poco después de publicar esto encontré esto, publicado hace solo unos días:
Es casi exactamente la misma configuración que tengo el plugin Apache httpd + mod_jk delante de Tomcat, así que seguramente no estoy loco :)
ACTUALIZAR:
Pude reproducir el problema en mi entorno de desarrollo sin mod_jk o Apache en el frente, por lo que puedo descartarlo de manera confiable como el culpable.