Good Evening Pavel Implementing a SSL Connector on Tomcat will prevent Session Fixation attack http://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html Ez az üzenet bizalmas. Ha nem ön az akinek szánva volt, akkor kérjük, hogy jelentse azt nekünk vissza. Semmiféle továbbítása vagy másolatának készítése nem megengedett. Ez az üzenet csak ismeret cserét szolgál és semmiféle jogi alkalmazhatósága sincs. Mivel az electronikus üzenetek könnyen megváltoztathatóak, ezért minket semmi felelöség nem terhelhet ezen üzenet tartalma miatt.
> Date: Thu, 28 Jun 2012 00:11:32 +0200 > Subject: How to initiate session id change from application code? > From: pavel.arn...@loutka.cz > To: users@tomcat.apache.org > > Hi, > > can I force Tomcat to change session id from my application code? I > know that in Tomcat7 there is a "changeSessionIdOnAuthentication" > attribute that can be used with container managed security, but how > can I protect my application from session fixation attacks if I don't > use container managed security? Invalidating session, creating new > session and copying session attributes is expensive and does't work > with some libraries, e.g. OpenWebBeans store session objects to > HttpSession only before passivation for performance reasons. > > Regards, > Pavel > > --------------------------------------------------------------------- > To unsubscribe, e-mail: users-unsubscr...@tomcat.apache.org > For additional commands, e-mail: users-h...@tomcat.apache.org >