个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
如果您将 Paros 放在浏览器和托管在 WebSphere 中的 Web 应用程序之间的流量上,您将有两个 session 标识符作为 HTTP 请求的 cookie 部分的一部分传递:
一个 JSESSIONID。据我所知,这是您的 HTTPSession ID。一个 LTPA2 token 。就 websphere 而言,这是您的“单点登录” session 。
现在,IBM 表示单个托管应用程序无法在用户注销时使 LTPA2 token 失效。这背后的想法是它是一个 SSO 标识符,因此单个应用程序不应该能够使它无效,因为它旨在跨多个应用程序使用。 WAS 中没有配置来声明“此环境仅托管一个应用程序,因此该应用程序可以使 LTPA2 token 无效”。
令人担忧的是,这些 LTPA2 session 会持续一段可配置的时间。因此,如果另一个用户获得了用户的 LTPA2 token 的句柄,他们可以使用它来访问该用户的 session ,从而访问他们的敏感数据。
您可以通过强制通过 SSL 传输 cookie 并为 cookie 指定 HTTP 来防止中间人攻击捕获 session 值。但是,我仍然担心本地机器硬盘上的 cookie 可用。浏览器必须将它存储在某个地方,因此必须有一种方法来访问它?
我的问题是,是否有人可以从硬盘驱动器中获取这样的 LTPA2 值?假设有人坐在图书馆里,登录他们的网上银行,做一些工作,然后注销。下一个用户是否有可能以某种方式获得 LTPA2 token ?
我尝试搜索我认为 FireFox 4 和 IE8 会存储 cookie 的目录,但无法匹配值的模式。我的直觉是,有可能在某些浏览器上找到这些数据?
最佳答案
默认情况下,LTPA2 token 是一个“ session Cookie”,Websphere 不会为该 cookie 设置过期时间,它只是存储在浏览器内存中,直到用户关闭浏览器。
除非您的客户端明确手动提取该 cookie 并将其存储在客户端,否则它不会存储在用户计算机上的任何文件中。
关于security - 我可以在机器上/浏览器中发现另一个用户的 LTPA2 token 吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6576322/
25
4
0
我被难住了。如果我对文件路径进行硬编码,则此脚本在我的 Windows 机器上的 Eclipse 中运行良好。如果我尝试接受参数并在我的边缘节点(一个 linux 机器)上运行它,它不会抛出任何特定的
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 关闭 8 年前。 这个问题似乎不是关于 a specific programming problem,
我们最近将我们的基础架构从 Solaris(Oracle/Sun Java) 迁移到 AIX(IBM Java)。 我们的客户将使用我们共享的算法(AES)和 key 上传加密文件,一旦加密文件放置在
我想编写一个程序(java),它接受一个文件作为输入,对其进行加密(使用aes128)并通过ftp发送该加密文件,接收者接收它并使用 key 进行解密。我是初学者,有什么帮助可以做到这一点吗?非常感谢
我正在尝试将一些为 1c2 机器 (thumb) 编译的 DLL 导入 WinMobile 6.1 C# 智能设备项目。 然而,当我尝试将它们导入我的 C# 项目时,我得到“无法添加对...的引用”,
我正在寻找 FPGA + 机器。 它应该是入门级定价(例如不超过 200 美元)。 编辑:我想制作一个 ASM 图表并将 FPGA 编程为我在图表中指定的行为 最佳答案 你看过Arduino ? 关于
这是我想完成的: Write a program that stimulates a bean machine Your program should prompt the user to enter
我尝试使用以下命令在 Windows 10 上使用 hyperv 创建一台机器: docker-machine create --driver hyperv default 但它给了我: This m
我有个问题 我的问题是我有一个将 mapred.map.tasks 配置为10的作业(抓取工具),这意味着我的工作将一次创建10个映射器。但是我的集群将 mapred.tasktracker.map.
我正在尝试使用命令重新启动 Docker sudo docker restart a7f8ce75f51f 但我收到以下错误 Error response from daemon: Cannot re
在新机器上引导 Eclipse 是一个非常耗时的过程,您最终会问自己是否真的需要每个插件。但这些都很方便,并且有助于养成一致的习惯。 Eclipse 引导问题包括: 解释/记录需要发生的事情 粘贴正确
我们希望建立一个 Docker 开发节点,我们团队中的任何人都可以将东西部署到其中。 我使用 SSH 创建了一个新的 Docker 机器,如下所示: docker-machine create \
如果可能的话,我想使用 java.util.logging 来做到这一点,有什么想法吗?谢谢。 最佳答案 您可以尝试一下SLF4J . Simple Logging Facade for Java (
当 vagrant up 时,我们的 vagrant box 需要大约 1 小时才能提供第一次运行,在配置过程的最后,我想将盒子打包到本地文件夹中的图像,以便下次需要重建时将其用作基础盒子。我正在使用
我正在为我的图像处理项目构建一个 SVM 线性机,在其中提取正样本和负样本的特征并将其保存到目录中。然后,我使用这些功能训练 SVM,但收到一个无法调试的错误。下面是我用于训练分类器的 train-c
问题描述: 我要将MySQL server 5.7.11 (win32) 安装到Windows server 2012 中。服务器中安装了多个网络接口(interface)卡,我将安装多个绑定(bin
我想安排一台 (AWS) Linux 计算机启动、运行程序,然后自行关闭(以将成本保持在最低水平)。我可以放 mycommand; shutdown 在/etc/rc.local 文件中。但如果我需要
关闭。这个问题需要多问focused 。目前不接受答案。 想要改进此问题吗?更新问题,使其仅关注一个问题 editing this post . 已关闭 4 年前。 Improve this ques
如何将此文件的输出发送到另一台 Linux 计算机的主目录。 显然,我想发送此文件的输出: sed '/^\s*#/d;/^$/d' /etc/httpd/conf/httpd.conf 到 nati
我有一个 Linux 机器,我可以使用 SSH 进行 root 访问。 我想使用GDB来调试系统。 这是一个精简的 Debian 软件包;因此,我里面没有任何编译工具。 uname -a 给出: 2.
我是一名优秀的程序员,十分优秀!