tag:blogger.com,1999:blog-757496094257544869.post4679455968429735039..comments2023-03-26T13:25:47.303+03:00Comments on Java-Bulldozer: Проблема логина через https в Spring Security 2.0Никита Кокшаровhttp://www.blogger.com/profile/05394947096577510025noreply@blogger.comBlogger3125tag:blogger.com,1999:blog-757496094257544869.post-92185362097935779642009-09-02T22:15:02.741+04:002009-09-02T22:15:02.741+04:00Вам же объяснили, что через реферер. И без всякого...Вам же объяснили, что через реферер. И без всякого сниферра утечет.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-757496094257544869.post-88499582432959829552008-10-27T23:35:00.000+03:002008-10-27T23:35:00.000+03:00Ну если говорить о несекьюрности, то можно начать ...Ну если говорить о несекьюрности, то можно начать с того, что переключение на http уже не безопасно само по себе. Какая разница через что передавать sessionid, если я возьму снифер и выловлю его... А по поводу баги, я знаю, что они так и делают, только вот не работает ничего, потому что в HttpRequest.redirectUrl не занимается выставлением jsessionid при переключении каналов... Это вроде как нелепая причина, с их стороно лишь бы не фиксить, а фикс там простой. А что такое "добавлятор идентификатора"?Никита Кокшаровhttps://www.blogger.com/profile/05394947096577510025noreply@blogger.comtag:blogger.com,1999:blog-757496094257544869.post-61938342435880156482008-10-27T22:23:00.000+03:002008-10-27T22:23:00.000+03:00Идентификатор сессии в url несекьюрно (session-fix...Идентификатор сессии в url несекьюрно (session-fixation и утекание через referrer на внешних ссылках) и ненадёжно, т.к. на каждой ссылке надо не забывать прогнать их через добавлятор идентификатора.<BR/><BR/>К тому же, как вам написали в баге, они это делают.Slonopotamushttps://www.blogger.com/profile/12130059658878535003noreply@blogger.com