HTTP 会话由会话标识来识别。会话标识是在运行时生成的一个伪随机数。会话 hijacking 是一个已知攻击 HTTP 会话,当通过网络的所有请求被强制通过安全连接(意味着 HTTPS)时它可被阻止。但并不是每个客户环境中的配置都强制此约束,这是因为 SSL 连接的性能影响。由于这个缓和方式,HTTP 会话易受 hijacking 的攻击,并且因为这个弱点 WebSphere Application Server 有一个选项以紧密结合 HTTP 会话和 WebSphere Application Server 安全性。在 WebSphere Application Server 中启用安全性,以使会话以仅允许创建这些会话的用户访问它们的方式来进行保护。
阅读全文>
发表于 @ 2007年09月20日 14:28:00|评论(loading...)|编辑