Quando si esegue un'applicazione web java con l'API servlet (come le pagine JSF o JSP), da qualche parte lungo la linea viene generato un SessionID 'unico' per identificare la sessione dell'utente.Come viene generato un ID sessione?
Mi chiedo come vengono generati questi sessionID. Includono l'IP del client? Un timestamp? Numeri casuali?
In secondo luogo, mi chiedo dove accadrà questa generazione? Dipende dal server che esegue l'applicazione?
È specifico del contenitore. Tomcat: http://tomcat.apache.org/tomcat-7.0-doc/security-howto.html#Manager
Scopriamo che per Tomcat, il loro recente Tomcat 7.0.59 ha un SessionIDGenerator estendibile http://tomcat.apache.org/tomcat-7.0-doc/changelog.html –
"L'identificatore viene assegnato dal servlet container ed è dipendente di attuazione."
jsessionid viene generato ogni volta che viene creata una nuova sessione.
Si utilizza normalmente un algoritmo java.security.MessageDigest.
Generalmente l'ID generato è solo un insieme di numeri casuali, fino alla lunghezza richiesta, ma varia in base agli algoritmi utilizzati nei vari contenitori servlet.
In Tomcat6, per esempio, dare un'occhiata a:
ManagerBase.sessionIdLength
e
ManagerBase.createSession() //which calls generateSessionId()
Vedi http://www.docjar.com/html/api/org/apache/catalina/session/ManagerBase.java.html
Quindi questo sembra che non v'è alcuna protezione out-of-the-box contro la ripetizione della sessione. L'abbiamo testato e in effetti puoi semplicemente manomettere il valore del tuo cookie JSESSIONID per dirottare la sessione di un altro utente. :( –