Announcement

Collapse
No announcement yet.

Spring Webflow mit deaktivieten Cookies

Collapse
X
Collapse
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Spring Webflow mit deaktivieten Cookies

    Hallo,

    ich arbeite erst seit kurzem mit Spring Webflow + Freemarker und habe folgendes Problem:
    Webflow nutzt zur Komunikation Cookies. In meinem Fall darf ich cookies nicht gebrauchen, was dazu führt,
    dass die Session ID verloren geht.

    Hat jemand eine Idee, wie die SessionId ohne Cookies übertragen werden kann?

    Ich habe versucht das Problem zu umgehen, indem ich die SessionId an die URL angehängt habe,
    so dass der Tomcat auf der anderen Seite damit umgehen kann.

    Also etwas in der Art :

    HTML Code:
    <#macro FormTableStart>

      <form action="?_flowExecutionKey=${flowExecutionKey}"  method="POST">

      <input type="hidden" name="_flowExecutionKey" value="${flowExecutionKey}"/>

      <table class="formtable">

      <colgroup>

            <col width="150"/>

            <col width="90"/>

            <col width="90"/>

            <col width="90"/>

      </colgroup>

</#macro>
    Leider konnte ich das Problem damit nicht lösen. Navigiere ich von einer Seite zur nächsten, geht
    offensichtlich die Session ID verloren und ich bekomme nur eine Fehlermeldung.



    Hat mir jemand weiterhelfen.

    Danke und viele Grüße

    Cisco
    Tags: cookies, freemarker, session id, spring, webflow
  • #2
    Hallo,

    wenn die SessionID nicht per Cookie gespeichert werden kann (warum eigentlich nicht?), dann muß sie bei JEDEM Seitenaufruf per GET oder POST übergeben werden. D.h. sie muß in jedes Formular und an jeden Link angehängt werden. Eine Lücke in der Kette und die Session ist weg.

    Mal abgesehen von dem Aufwand den das u.U. bereitet ist es ein größeres Sicherheitsrisiko eine SessionID per URL zu übergeben statt den dafür benötigten Cookie zuzulassen.

    Gruß Falk
    Wenn du denkst du hast alle Bugs gefunden, dann ist das ein Bug in deiner Denksoftware.

    Quellcode ohne ein Mindestmaß an Formatierung sehe ich mir nicht an! Ich leiste keinen Privatsupport per Mail oder PN!

    Comment

    • #3
      Hallo,

      erst einmal Danke für die schnelle Antwort.
      Die Antwort auf deine Frage, warum ich keine Cookies für die Speicherung der SessionId benutzen möchte, ist ganz einfach: Die Web-Anwendung soll auch bei deaktivierten Cookies im Browser funktionieren, ohne den Benutzer um die Aktivierung der Cookies zu bitten. Damit bleibt nur noch die Möglichkeit die SessionId über die URL zu übertragen.
      Du hast natürlich recht, dass das wesentlich mehr Aufwand mit sich bringt als über Cookies - das ist für mich aber nicht so schlimm.

      Du erwähnst, dass die Übertragung einer SessionId über die URL statt über ein Cookie ein größeres Sicherheitsrisiko darstellt - was genau meinst du damit?


      Danke und viele Grüße

      Cisco

      Comment

      • #4
        Hallo,
        Originally posted by Cisco View Post
        ...Du erwähnst, dass die Übertragung einer SessionId über die URL statt über ein Cookie ein größeres Sicherheitsrisiko darstellt - was genau meinst du damit?
        folgendes Szenario:
        Webshop, PersonA eingeloggt, im Warenkorb zwei Artikel (A und B). PersonA findet einen dritten Artikel (C) gut und will diesen einem Freund PersonB zeigen. Also kopiert PersonA den Link "http://supershop.de?artikelid=0815&sid=abcdefgh012345678" und schickt ihn per Skype an PersonB. Wenn jetzt PersonB diesen Link anklickt und die Sessionverwaltung nicht zusätzlich noch nach IP-Adresse unterscheidet - oder beide hinter demselben Proxy sitzen, dann ist PersonB automatisch als PersonA eingeloggt und hat sofort die Artikel A und B im Warenkorb und könnte u.U. sogar den Kauf abschliessen -> ergo Sicherheitsproblem! Das Problem ist in dem Moment zwar PersonA, weil er seine Session-ID weitergibt aber welcher Normaluser weiss schon was eine Session-ID ist?

        Gruß Falk
        Wenn du denkst du hast alle Bugs gefunden, dann ist das ein Bug in deiner Denksoftware.

        Quellcode ohne ein Mindestmaß an Formatierung sehe ich mir nicht an! Ich leiste keinen Privatsupport per Mail oder PN!

        Comment

        • #5
          Hallo,

          ich hatte in den letzten Tagen nicht viel Zeit um nach einer Lösung für das Cookie Problem zu suchen.
          Sagen wir mal, ich kann die gennaten Sicherheitsrisiken mit Hilfe der IP umgehen,
          dann bleibt immer noch die Frage: Wie kann ich die SessionId über die URL Übertragen?
          Leider hat mein oben gennanter Lösungsansatz nichts gebracht, sobald ich Cookies im Browser deaktiviere geht die SessionId verloren, obwohl die SessionId über die URL übertragen wurde.

          Kennt jemand ein "Workaround" wie das Problem zu lösen ist und kann das anhand eines Beispiels erklären.


          Danke und viele Grüße

          Cisco

          Comment

          Previous template Next
          Working...
          X