tomcat-users mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From Martin Gainty <>
Subject RE: interaction between .forward() and <security-constraint>
Date Sun, 05 Sep 2010 00:15:51 GMT

far easier to implement than HTTPS
what can MIM access with just the session-id?
is this comparison DIGEST vs HTTPS documented

Verzicht und Vertraulichkeitanmerkung/Note de déni et de confidentialité

Diese Nachricht ist vertraulich. Sollten Sie nicht der vorgesehene Empfaenger sein, so bitten
wir hoeflich um eine Mitteilung. Jede unbefugte Weiterleitung oder Fertigung einer Kopie ist
unzulaessig. Diese Nachricht dient lediglich dem Austausch von Informationen und entfaltet
keine rechtliche Bindungswirkung. Aufgrund der leichten Manipulierbarkeit von E-Mails koennen
wir keine Haftung fuer den Inhalt uebernehmen.
Ce message est confidentiel et peut être privilégié. Si vous n'êtes pas le destinataire
prévu, nous te demandons avec bonté que pour satisfaire informez l'expéditeur. N'importe
quelle diffusion non autorisée ou la copie de ceci est interdite. Ce message sert à l'information
seulement et n'aura pas n'importe quel effet légalement obligatoire. Étant donné que les
email peuvent facilement être sujets à la manipulation, nous ne pouvons accepter aucune
responsabilité pour le contenu fourni.


> Date: Sun, 5 Sep 2010 00:23:51 +0100
> From:
> To:
> Subject: Re: interaction between .forward() and <security-constraint>
> On 04/09/2010 17:27, André Warnier wrote:
> > Digest authentication is not very popular, and rather a pain to
> > implement yourself.
> > The reason why it is not very popular is that it is a bit of a halfway
> > solution : it does avoid user passwords to be transmitted in clear over
> > the net, but it is not safe for man-in-the-middle attacks (someone can
> > record the digest, and use it to authenticate later as that user).
> No they can't. DIGEST is secure against such an attack. Any session ID,
> however, will be vulnerable.
> > And
> > it still leaves the subsequent conversation unencrypted.
> True.
> > If you really need security, then you should run your entire site under
> > HTTPS.
> It depends on what you are trying to protect. Generally, this is true
> but there will be edge cases where DIGEST is sufficient.
> Mark
> ---------------------------------------------------------------------
> To unsubscribe, e-mail:
> For additional commands, e-mail:
  • Unnamed multipart/alternative (inline, None, 0 bytes)
View raw message