Я прочитал руководство в настоящее время, и я немного запутался в этом:
Чтобы устранить эту слабость, это помогает понять объем проблема. Фиксация сеанса является всего лишь ступенькой - целью атака заключается в получении идентификатора сеанса, который может быть использован для захвата сеанс. Это наиболее полезно, когда захваченный сеанс имеет более высокий уровень привилегий, чем злоумышленник может получить через законные средства. Этот уровень привилегий может быть таким же простым, как и быть вошел в систему. Если идентификатор сеанса регенерируется каждый раз является изменением уровня привилегий, риск фиксации сеанса практически устранено:
Если я правильно это понимаю, мне нужно сделать только сеанс _ регенерировать _ id ()
, прежде чем я назначу значение, как logged _ in = true
или user _ id = id
, и тогда я сделал защиту от фиксации сеанса?
Достаточно ли этого? Что еще можно сделать?
-121--1350427-
Я пытаюсь создать индивидуальный способ вычисления и передачи уникальных идентификаторов, которые соответствуют моему собственному образцу.
В Hibernate имеется аннотация @ GenericGenerator, которая позволяет сопоставить пользовательский класс для вычисления уникального идентификатора и присвоить его столбцу @ Id.
Пример
@Id
@GeneratedValue(generator="MyIdGenerator")
@GenericGenerator(name="MyIdGenerator", strategy="com.test.MyIdGenerator")
Дело в том, что я не хочу использовать (hibernates) @ GenericGenerator на уровне пакета. Может ли это быть в «чистом» JPA/2?
Спасибо за ваше время.