Podczas uruchamiania aplikacji sieciowej Java z apletem apletów (jak strony JSF lub JSP), gdzieś wzdłuż linii generowany jest "unikalny" identyfikator sesji, aby zidentyfikować sesję użytkownika.W jaki sposób jest generowany identyfikator sesji?
Zastanawiam się, jak generowane są te identyfikatory sesji. Czy zawierają adres IP klienta? Znacznik czasu? Losowe liczby?
Po drugie, zastanawiam się, gdzie się dzieje to pokolenie? Czy jest to zależne od serwera, na którym działa aplikacja?
Tak to wygląda nie ma out-of-the-box ochrona przed powtórką sesji. Przetestowaliśmy to i naprawdę możesz po prostu manipulować wartością cookie JSESSIONID, aby przejąć sesję innego użytkownika. :( –