减轻java中https请求的会话劫持
我已经在tomcat context.xml中设置了减轻java中https请求的会话劫持,java,ssl,tomcat,https,session-cookies,Java,Ssl,Tomcat,Https,Session Cookies,我已经在tomcat context.xml中设置了useHttpOnly=true,并且正在使用server.xml连接器元素支持中使用java keytool生成的自签名证书来支持SSL,如下所示: context.xml <Context useHttpOnly="true"> <!-- other code --> </Context> server.xml <Connector port="80" protocol="HTTP/1.1"
useHttpOnly=true<Context useHttpOnly="true">
<!-- other code -->
</Context>
<Connector port="80" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443" />
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="my key file location"
keystorePass="keystore password" />
如果攻击者使用他生成的会话id,那么该会话将不会是受害者的会话。如果攻击者能够通过嗅探获取有效会话id,那么攻击者如何从加密通信中“嗅探”有效会话id?至于不信任您的自签名证书,问题是用户是否会信任您的站点;它对嗅探攻击没有额外的保护。顺便说一句,SSL更恰当地称为传输层安全性(Transport Layer Security,TLS)——它可以用于向任何TCP协议(不仅仅是HTTP)添加加密。你可以使用TLS做一些事情。“问题是用户是否会信任你的网站;它对嗅探攻击没有额外的保护”--是的,但除此之外,就证书而言有什么区别吗?“如果攻击者能够通过嗅探获取有效会话ID,那么攻击者如何“嗅探”加密流量中的有效会话ID”--我使用burp suite拦截了流量,并且能够获取请求中传输的所有数据。就证书而言,有何区别?没有,中间人攻击只有在最终用户无法验证证书的情况下才是可能的。通常的方法是使用签名证书。但如果攻击者还可以生成有效的签名证书,则是;你仍然容易受到中间人攻击。这并不是什么新鲜事。我想我已经理解了对有效证书的需要,而且似乎有效证书并不一定意味着攻击者不能破坏用户会话。有没有办法在服务器端检查请求是否被泄露?当然。客户端上的有效证书,服务器上的有效证书,执行双向验证。现在必须验证每个客户机。密码学文献相当不错,或者你可以不断向互联网上的陌生人解释数学。如果攻击者能够通过嗅探获取有效会话ID,那么攻击者如何从加密流量中“嗅探”有效会话ID?至于不信任您的自签名证书,问题是用户是否会信任您的站点;它对嗅探攻击没有额外的保护。顺便说一句,SSL更恰当地称为传输层安全性(Transport Layer Security,TLS)——它可以用于向任何TCP协议(不仅仅是HTTP)添加加密。你可以使用TLS做一些事情。“问题是用户是否会信任你的网站;它对嗅探攻击没有额外的保护”--是的,但除此之外,就证书而言有什么区别吗?“如果攻击者能够通过嗅探获取有效会话ID,那么攻击者如何“嗅探”加密流量中的有效会话ID”--我使用burp suite拦截了流量,并且能够获取请求中传输的所有数据。就证书而言,有何区别?没有,中间人攻击只有在最终用户无法验证证书的情况下才是可能的。通常的方法是使用签名证书。但如果攻击者还可以生成有效的签名证书,则是;你仍然容易受到中间人攻击。这并不是什么新鲜事。我想我已经理解了对有效证书的需要,而且似乎有效证书并不一定意味着攻击者不能破坏用户会话。有没有办法在服务器端检查请求是否被泄露?当然。有效证书