브라우저와 WebSphere에서 호스팅되는 웹 응용 프로그램 사이의 트래픽에 Paros를 설치하면 HTTP 요청의 쿠키 섹션의 일부로 두 개의 세션 식별자가 전달됩니다.기계에서/브라우저에서 다른 사용자 LTPA2 토큰을 발견 할 수 있습니까?
JSESSIONID. 내가 말할 수있는 한 이것은 귀하의 HTTPSession ID입니다. LTPA2 토큰. websphere에 관한 한 이것이 "싱글 사인온 (single sign on)"세션입니다.
이제 IBM은 사용자가 로그 아웃 할 때 단일 호스트 응용 프로그램이 LTPA2 토큰을 무효화 할 수 없다고 말합니다. 이 문제는 SSO 식별자이므로 단일 응용 프로그램이 여러 응용 프로그램에서 사용하기 때문에이를 무효화 할 수 없어야합니다. WAS에는 "이 환경은 하나의 응용 프로그램 만 호스트하므로 응용 프로그램이 LTPA2 토큰을 무효화 할 수 있습니다"라는 선언은 없습니다.
이러한 LTPA2 세션은 구성 가능한 시간 동안 중단됩니다. 따라서 다른 사용자가 사용자의 LTPA2 토큰에서 핸들을 얻은 경우이를 사용하여 해당 사용자의 세션에 액세스 할 수 있으므로 중요한 데이터에 액세스 할 수 있습니다.
중간 공격자가 SSL을 통해 쿠키 전송을 강제로 수행하고 쿠키에만 HTTP를 지정하여 세션 값을 캡처하지 못하게 할 수 있습니다. 그러나 나는 여전히 로컬 컴퓨터의 하드 드라이브에서 사용할 수있는 쿠키에 대해 걱정하고 있습니다. 브라우저는 어딘가에 저장해야하므로 액세스 권한이 있어야합니다.
제 질문은 누군가가 하드 드라이브에서 이와 같은 LTPA2 값을 얻을 수 있습니까? 누군가가 도서관에 앉아서 온라인 뱅킹에 로그인하고 어떤 일을하고 나서 로그 아웃한다고합시다. 다음 사용자가 LTPA2 토큰을 어떻게 든 얻을 수 있습니까?
파이어 폭스 4와 IE8이 쿠키를 저장할 것이라고 생각했지만, 패턴과 일치하지 않는 디렉토리를 검색해 보았습니다. 내 직감은 특정 브라우저에서이 데이터를 찾을 수 있다는 것입니다.