#java #security #caching #cookies
#java #Безопасность #кэширование #файлы cookie
Вопрос:
Допустим, приложение не использует JSESSION, но использует пользовательский CSESSION для файлов cookie.
Безопасно ли хранить пользовательский файл cookie CSESSION в памяти JAVA-приложения?
проблема, которую я вижу, заключается в том, что в случае дампа памяти приложения сеансы будут пропущены.
Я хотел бы знать, существуют ли более эффективные методы их защиты или мы принимаем этот риск, поскольку существуют альтернативные элементы управления для предотвращения дампа памяти.
Комментарии:
1. Какое приложение? Имеются в виду java-сервлет? Каким образом файл cookie CSESSION более разумный, чем файл cookie JSESSION? Содержимое файла cookie JSESSION в сервлете java — это идентификатор сеанса. Идентификатор сеанса сохраняется в памяти и всегда доступен приложению (request.getSession().getId() ….). Почему идентификатор сеанса является разумной информацией, которая может просочиться? Зачем кому-то нужен идентификатор сеанса для доступа к разумной информации, если он уже может выполнять дамп памяти?
2. Это очень похоже на JSession. Я могу перехватить сеанс, если знаю идентификатор сеанса. Я согласен с тем фактом, что если вы можете выполнить дамп памяти, вы можете пропустить информацию. Я пытаюсь выяснить, существуют ли стандарты для этого.