Comments on: Hardening de sessões em ambiente Java http://wagnerelias.com/2009/07/10/hardening-de-sessoes-em-ambiente-java/ BCP, BIA, DRP, Security Assessment, Risk Assessment, Security Developer Wed, 05 Oct 2011 13:05:28 +0000 hourly 1 By: Elias Wagner http://wagnerelias.com/2009/07/10/hardening-de-sessoes-em-ambiente-java/comment-page-1/#comment-735 Elias Wagner Tue, 14 Jul 2009 20:57:33 +0000 http://wagnerelias.com/2009/07/10/hardening-de-sessoes-em-ambiente-java/#comment-735 André, exatamente por isto eu escrevi este post. O programador tem que lidar com estas características via código, pois em geral o servidor não trata. Quanto ao Tomcat, o Lucas dá boas dicas sobre o tratamento de Cookies: http://java.sapao.net/Home/garantir-a-seguranca-dos-identificadores-de-sessao-cookies Abs.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('735','Elias Wagner'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('735','Elias Wagner','André,\n\nexatamente por isto eu escrevi este post. O programador tem que lidar com estas características via código, pois em geral o servidor não trata.\n\nQuanto ao Tomcat, o Lucas dá boas dicas sobre o tratamento de Cookies:\nhttp:\/\/java.sapao.net\/Home\/garantir-a-seguranca-dos-identificadores-de-sessao-cookies\n\nAbs.'); return false;">Quote</a></div> André,

exatamente por isto eu escrevi este post. O programador tem que lidar com estas características via código, pois em geral o servidor não trata.

Quanto ao Tomcat, o Lucas dá boas dicas sobre o tratamento de Cookies:
http://java.sapao.net/Home/garantir-a-seguranca-dos-identificadores-de-sessao-cookies

Abs.

ReplyQuote
]]> By: André http://wagnerelias.com/2009/07/10/hardening-de-sessoes-em-ambiente-java/comment-page-1/#comment-734 André Mon, 13 Jul 2009 19:39:16 +0000 http://wagnerelias.com/2009/07/10/hardening-de-sessoes-em-ambiente-java/#comment-734 Prezado Wagner, Como o próprio OWASP diz "...Most environments (e.g., Java EE) do not provide a mechanism to set the HTTPOnly flag. " O JSESSIONID é gerado pelo container, no caso o tomcat. Estou tentando saber como setar estes valores. alguma dica? Obrigado, Andre<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('734','André'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('734','André','Prezado Wagner,\r\n\r\nComo o próprio OWASP diz \"...Most environments (e.g., Java EE) do not provide a mechanism to set the HTTPOnly flag. \"\r\n\r\nO JSESSIONID é gerado pelo container, no caso o tomcat. Estou tentando saber como setar estes valores. alguma dica?\r\n\r\nObrigado,\r\nAndre'); return false;">Quote</a></div> Prezado Wagner,

Como o próprio OWASP diz “…Most environments (e.g., Java EE) do not provide a mechanism to set the HTTPOnly flag. ”

O JSESSIONID é gerado pelo container, no caso o tomcat. Estou tentando saber como setar estes valores. alguma dica?

Obrigado,
Andre

ReplyQuote
]]> By: Cassio Menezes http://wagnerelias.com/2009/07/10/hardening-de-sessoes-em-ambiente-java/comment-page-1/#comment-732 Cassio Menezes Fri, 10 Jul 2009 19:38:10 +0000 http://wagnerelias.com/2009/07/10/hardening-de-sessoes-em-ambiente-java/#comment-732 Grandes dicas, Wagner! Valeu. Abraços. Cassio Menezes.<div class="comment-remix-meta"><a href="#" class="replyto" onclick="replyto('732','Cassio Menezes'); return false;">Reply</a> - <a href="#" class="quote" onclick="quote('732','Cassio Menezes','Grandes dicas, Wagner! Valeu.\r\n\r\nAbraços.\r\n\r\nCassio Menezes.'); return false;">Quote</a></div> Grandes dicas, Wagner! Valeu.

Abraços.

Cassio Menezes.

ReplyQuote
]]>