Не особо понял как можно воспользоваться SESSION ID даже если она и отправляется клиенту (это кстати происходит не всегда, что не очевидно, например при попытке доступа с действующим JWT мы НЕ получим в ответе session ID, а вот при неверном или отсутствующем JWT куки мы таки получаем). Но даже имея этот session ID я не смог получить доступ к защищённому endpoint-у (даже дебагером быстренько попытался в самом спринге найти где бы это могло сработать, не нашёл) и даже не представляю с чего бы спринг вдруг пропустил все остальные фильтры, если бы увидел присланный session ID (которая ни к чему даже не привязана). В общем очень хотелось бы увидеть пример, а то в докладе на этой "уязвимости" несколько раз акцентировалось внимание, а никакого рабочего примера уязвимости я создать не смог.
Когда ты отправишь свои логин и пароль, если сессия не отключена и работает, то тебе выдастся кука. Jwt фильтр обычно мы пишем сами. Если в этот момент у нас оказывается два фильтра, есть сохраненная сессия и мы пришлем ее сешн айди, то запрос пройдет дальше. Согласен. Это зависит от реализации твоего жвт-фильтра. Но обыно они не бросают исключений. И в таком случае при наличии заполненного из сессии секьюрити контекста, ты можешь ходить, минуя jwt.
если перед получением токена пользователь отправляет json с логин/пароль в незашифрованном виде, накой тогда токен шифровать в последствии? дыра в защите при передаче первого json делает это бессмысленным
@@BornToNight если юзер поймал вредоносный перехватчик запросов, то не важно один раз "по быстрому" кинуть или несколько. Правильный ответ в том, что логин пароль шифруется при передаче используя SSL сертификат.
Очень неоднозначное впечатление от доклада. С одной стороны, автор хорошо готовился, и видно, что в целом разбирается в вопросе. С другой стороны, непонятна цель доклада и целевая аудитория. С одной стороны, это хай-левел овервью со ссылками, с другой - частое 15-секундное упоминание вскользь какого-то лоу-левел аспекта миграции между конфигурациями в версиях 2 и 3 бута Я достаточно много работал с секьюрити, у в целом у меня мозг не взорвался после просмотра, но на мой взгляд - такие доклады стоит разбивать на несколько частей и фокусироваться на законченном скоупе. Даже интересно, какая была общая обратная связь по докладу от тех, кто пришел на него. А ещё интереснее - как доклад ревьюили сами организаторы конференции. И ревьюили ли
Оценки у доклада высокие. Потому что весь необозренный материал покрыт ссылками. Все азы секьюрити даны. Все материалы даны. Цель доклада была в том, чтобы рассказать то, что трудно гуглится, то что важно знать, как тонкости, но это в то же время абсолютно базовые вещи. "Повседневное и неочевидное" - каждый день вокруг нас и не само собой разумеется при первом взгляде на предметную область и инструмент. Спринг секьюрити сам по себе необъятен сегодня. Дока по слогам - это скучно. А, вот, когда ты собрал все основные шишки и можешь дать слушателю их в краткой смеси с основными концепциями - это круто.
@@anton-tkachenkoвсе вопросы и претензии можно прям сюда в комменты. Я открыт критике. И читаю эти комменты, чтобы учитывать мои огрехи в подаче и материале.