Skip to main content

[JIRA] Commented: (SERVLET_SPEC-13) Make session fixation protection part of the spec

  • From: "gregwilkins (JIRA)" <jira-no-reply@...>
  • To: issues@...
  • Subject: [JIRA] Commented: (SERVLET_SPEC-13) Make session fixation protection part of the spec
  • Date: Mon, 6 Feb 2012 23:05:53 +0000 (GMT+00:00)
  • Auto-submitted: auto-generated


    [ 
http://java.net/jira/browse/SERVLET_SPEC-13?page=com.atlassian.jira.plugin.system.issuetabpanels:comment-tabpanel&focusedCommentId=330774#action_330774
 ] 

gregwilkins commented on SERVLET_SPEC-13:
-----------------------------------------

Note also that we have to consider shared session IDs with cross context 
dispatch.

If a server is working with cross context dispatch, then many contexts can 
have the same session ID pointing to different sessions.  Changing the 
session ID on one context will have to change the session ID for all contexts 
(just as invalidating on one will invalidate on all).

cheers

> Make session fixation protection part of the spec
> -------------------------------------------------
>
>                 Key: SERVLET_SPEC-13
>                 URL: http://java.net/jira/browse/SERVLET_SPEC-13
>             Project: servlet-spec
>          Issue Type: Improvement
>            Reporter: markt_asf
>            Assignee: Shing Wai Chan
>
> One of the options for providing protection against session fixation is to 
> change the ID of a session on authentication. It would be good if something 
> along the lines of a changeId() method could be added to the session 
> interface to enable custom security solutions to do this easily. An 
> associated event for sessions listeners would also be required.

-- 
This message is automatically generated by JIRA.
-
If you think it was sent incorrectly contact one of the administrators: 
http://java.net/jira/secure/Administrators.jspa
-
For more information on JIRA, see: http://www.atlassian.com/software/jira

        


[JIRA] Commented: (SERVLET_SPEC-13) Make session fixation protection part of the spec

janbartel (JIRA) 02/06/2012

<Possible follow-up(s)>

[JIRA] Commented: (SERVLET_SPEC-13) Make session fixation protection part of the spec

gregwilkins (JIRA) 02/06/2012
 
 
Close
loading
Please Confirm
Close