RE: Session fixation countermeasures

From: Martin Gainty <mgainty_at_hotmail.com>
Date: Tue, 20 Apr 2010 08:25:45 -0400

http://www.acros.si/papers/session_fixation.pdf

Browsers should Disable cookies and WebServers should create a new session(id) tied to the client cert after authentication

would suggest taking a long look at "network traffic modification"
Martin Gainty
______________________________________________
Verzicht und Vertraulichkeitanmerkung/Note de d�ni et de confidentialit�

Diese Nachricht ist vertraulich. Sollten Sie nicht der vorgesehene Empfaenger sein, so bitten wir hoeflich um eine Mitteilung. Jede unbefugte Weiterleitung oder Fertigung einer Kopie ist unzulaessig. Diese Nachricht dient lediglich dem Austausch von Informationen und entfaltet keine rechtliche Bindungswirkung. Aufgrund der leichten Manipulierbarkeit von E-Mails koennen wir keine Haftung fuer den Inhalt uebernehmen.
Ce message est confidentiel et peut �tre privil�gi�. Si vous n'�tes pas le destinataire pr�vu, nous te demandons avec bont� que pour satisfaire informez l'exp�diteur. N'importe quelle diffusion non autoris�e ou la copie de ceci est interdite. Ce message sert � l'information seulement et n'aura pas n'importe quel effet l�galement obligatoire. �tant donn� que les email peuvent facilement �tre sujets � la manipulation, nous ne pouvons accepter aucune responsabilit� pour le contenu fourni.

> Date: Mon, 19 Apr 2010 23:54:44 -0700
> From: glassfish_at_javadesktop.org
> To: users_at_glassfish.dev.java.net
> Subject: Session fixation countermeasures
>
> Hi all,
>
> I'm looking for information on preventing Session fixation attacks to web-apps running on Glassfish. For Tomcat, the problem seems to have been solved transparently by the container since 5.5.29, 6.0.21, and 7.x (see https://issues.apache.org/bugzilla/show_bug.cgi?id=45255). What would be the right thing to do for Glassfish v2.1? Did I miss something obvious? Any experiences or insight greatly appreciated.
>
> J.R.
> [Message sent by forum member 'janonym']
>
> http://forums.java.net/jive/thread.jspa?messageID=397950
>
> ---------------------------------------------------------------------
> To unsubscribe, e-mail: users-unsubscribe_at_glassfish.dev.java.net
> For additional commands, e-mail: users-help_at_glassfish.dev.java.net
>

_________________________________________________________________
Hotmail has tools for the New Busy. Search, chat and e-mail from your inbox.
http://www.windowslive.com/campaign/thenewbusy?ocid=PID28326::T:WLMTAGL:ON:WL:en-US:WM_HMP:042010_1