CDSSO Cookie劫持问题

CDSSO Cookie劫持问题 
     

     当cookie设置到整个域，如“.example.com”，攻击者获得cookie后，可以从这个域的任何主机使用它，如untrusted.example.com。Cookie劫持保护限制cookie到其签发的主机FQDN名称，如am-server.example.com和server-with-agent.example.com，使用CDSSO处理认证和授权。
    

      如果CDSSO设置了cookie劫持保护，当客户端成功认证后，AM服务签发主SSOToken cookie到其FQDN。AM服务签发restricted token cookie到其他策略代理所在的FQDNs。这样不同应用之间不会共享会话cookie。
当客户端从不同FQDNs收到的cookie含有不同的会话ID，客户端结束处理。AM服务保存主SSOToken和restricted token的关联关系，客户端在AM内部只有一个主SSOToken。
     

     AM不仅记录初始重定向到认证的代理，也会跟踪使用这个 SSO token的所有应用，AM利用这个信息控制后续请求的处理，防止未授权访问受保护web资源。


下面列出了4个与会话cookie劫持相关的问题及AM对应的解决方法：

 

 

FQDN：(Fully Qualified Domain Name)完全合格域名/全称域名，是指主机名加上全路径，全路径中列出了序列中所有域成员。全域名可以从逻辑上准确地表示出主机在什么地方，也可以说全域名是主机名的一种完全表示形式。从全域名中包含的信息可以看出主机在域名树中的位置。

 

iPlanet是升阳（SUN）公司微系统对网络服务器和相关程序的解决方案。Iplanet包括电子商务服务、端口服务、通信服务，网络和应用软件服务以及用户管理服务。商业服务让企业能够展开安全的帐单支付和销售业务。端口服务使得企业可以辨别那些在定制端口使用浏览器和拨号上网连接的雇员、供应商和消费者。