Если вы поместите sit Paros в трафик между вашим браузером и веб-приложением, размещенным в WebSphere, вам будут переданы два идентификатора сеанса как часть раздела cookie HTTP-запроса:
JSESSIONID. Насколько я могу судить, это ваш идентификатор HTTPSession. Токен LTPA2. Это ваш сеанс «единого входа» в том, что касается веб-сферы.
Теперь IBM заявляет, что одно размещенное приложение не может аннулировать токен LTPA2, когда пользователь выходит из системы. Идея, стоящая за этим, заключается в том, что это идентификатор единого входа, поэтому одно приложение не должно аннулировать его, поскольку он предназначен для использования в нескольких приложениях. В WAS нет конфигурации для объявления «в этой среде размещено только одно приложение, поэтому это приложение может сделать недействительным токен LTPA2».
Что беспокоит, так это то, что эти сеансы LTPA2 зависают в течение настраиваемого периода времени. Следовательно, если другой пользователь получил дескриптор пользовательского токена LTPA2, он может использовать его для доступа к сеансу этого пользователя и, следовательно, к его конфиденциальным данным.
Вы можете предотвратить атаку «человек посередине» для захвата значения сеанса, заставив передачу файла cookie происходить через SSL и указав HTTP только для файлов cookie. Тем не менее, я все еще беспокоюсь о том, что файл cookie доступен на жестком диске локальных компьютеров. Браузер должен где-то его хранить, поэтому должен быть способ получить к нему доступ?
Мой вопрос: возможно ли получить такое значение LTPA2 с жесткого диска? Скажем, кто-то садится в библиотеке, входит в свой онлайн-банкинг, делает какую-то работу, а затем выходит из системы. Возможно ли, чтобы следующий пользователь каким-то образом получил токен LTPA2?
Я попытался поискать в каталогах, где, как я думал, FireFox 4 и IE8 сохранят файл cookie, но не смог найти шаблон, соответствующий значению. Моя интуиция подсказывает, что эти данные можно найти в определенных браузерах?