users@glassfish.java.net

RE: Identity Services Security

From: Martin Gainty <mgainty_at_hotmail.com>
Date: Sun, 6 Jun 2010 18:17:29 -0400

YES..unless its something about your dog dont send anything thru cleartext

use kerberos from MIT
http://sunjavaidm.blogspot.com/2009/04/configuring-kerberos-on-solaris-10-to.html

good advice
Martin Gainty
______________________________________________
Jogi és Bizalmassági kinyilatkoztatás/Verzicht und Vertraulichkeitanmerkung/Note de déni et de confidentialité
 Ez az
üzenet bizalmas. Ha nem ön az akinek szánva volt, akkor kérjük, hogy
jelentse azt nekünk vissza. Semmiféle továbbítása vagy másolatának
készítése nem megengedett. Ez az üzenet csak ismeret cserét szolgál és
semmiféle jogi alkalmazhatósága sincs. Mivel az electronikus üzenetek
könnyen megváltoztathatóak, ezért minket semmi felelöség nem terhelhet
ezen üzenet tartalma miatt.

Diese Nachricht ist vertraulich. Sollten Sie nicht der vorgesehene Empfaenger sein, so bitten wir hoeflich um eine Mitteilung. Jede unbefugte Weiterleitung oder Fertigung einer Kopie ist unzulaessig. Diese Nachricht dient lediglich dem Austausch von Informationen und entfaltet keine rechtliche Bindungswirkung. Aufgrund der leichten Manipulierbarkeit von E-Mails koennen wir keine Haftung fuer den Inhalt uebernehmen.
Ce message est confidentiel et peut ętre privilégié. Si vous n'ętes pas le destinataire prévu, nous te demandons avec bonté que pour satisfaire informez l'expéditeur. N'importe quelle diffusion non autorisée ou la copie de ceci est interdite. Ce message sert ŕ l'information seulement et n'aura pas n'importe quel effet légalement obligatoire. Étant donné que les email peuvent facilement ętre sujets ŕ la manipulation, nous ne pouvons accepter aucune responsabilité pour le contenu fourni.




Date: Sun, 6 Jun 2010 14:21:35 -0700
From: ronak2121_at_yahoo.com
To: users_at_glassfish.dev.java.net
Subject: Identity Services Security



Hello,
I had a question about how secure the tokens that are generated by the server are when we use the OpenAM Identity Services.
Would these tokens, when sent through cleartext, be vulnerable to man in the middle or session hijacking attacks?
If so, should I be encrypting all traffic being sent to the server that uses Identity Services?
Thanks,
Ronak



                                               
_________________________________________________________________
The New Busy think 9 to 5 is a cute idea. Combine multiple calendars with Hotmail.
http://www.windowslive.com/campaign/thenewbusy?tile=multicalendar&ocid=PID28326::T:WLMTAGL:ON:WL:en-US:WM_HMP:042010_5
© Oracle | By contributing to this project, you are agreeing to the terms of use described here.