tomcat-users mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From Martin Gainty <mgai...@hotmail.com>
Subject RE: How to initiate session id change from application code?
Date Wed, 27 Jun 2012 23:07:37 GMT

Good Evening Pavel Implementing a SSL Connector on Tomcat will prevent Session Fixation attack
http://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html    Ez az
üzenet bizalmas.  Ha nem ön az akinek szánva volt, akkor kérjük, hogy
jelentse azt nekünk vissza. Semmiféle továbbítása vagy másolatának
készítése nem megengedett.  Ez az üzenet csak ismeret cserét szolgál és
semmiféle jogi alkalmazhatósága sincs.  Mivel az electronikus üzenetek
könnyen megváltoztathatóak, ezért minket semmi felelöség nem terhelhet
ezen üzenet tartalma miatt.


 > Date: Thu, 28 Jun 2012 00:11:32 +0200
> Subject: How to initiate session id change from application code?
> From: pavel.arnost@loutka.cz
> To: users@tomcat.apache.org
> 
> Hi,
> 
> can I force Tomcat to change session id from my application code? I
> know that in Tomcat7 there is a "changeSessionIdOnAuthentication"
> attribute that can be used with container managed security, but how
> can I protect my application from session fixation attacks if I don't
> use container managed security? Invalidating session, creating new
> session and copying session attributes is expensive and does't work
> with some libraries,  e.g. OpenWebBeans store session objects to
> HttpSession only before passivation for performance reasons.
> 
> Regards,
> Pavel
> 
> ---------------------------------------------------------------------
> To unsubscribe, e-mail: users-unsubscribe@tomcat.apache.org
> For additional commands, e-mail: users-help@tomcat.apache.org
> 
 		 	   		  
Mime
  • Unnamed multipart/alternative (inline, None, 0 bytes)
View raw message