IFI 6068 Sissejuhatus infosüsteemidesse · 2017 sügissemester · 14 loengut · 14 praktikumi · 12 ülesannet · 6 näiterakendust · eksam

“Sessiooni üleandmise” e “Legacy” muster

Lähteseis. Kasutaja on sisse loginud rakendusse A.

1a Kasutaja vajutab nupule “Mine rakendusse B” vms. Veebisirvijast läheb päring rakenduse A serverikomponendile.

2a Rakenduse A serverikomponent saadab X-tee päringu rakenduse B serverikomponendile. Päringus saadetakse kasutaja isikukood ja küsitakse luba rakendusse B siseneda.

2b Rakendus B kontrollib, kas juurdepääsu andmiseks on alust, genereerib juhusliku sõne, lisab selle rakenduse B URL-le ja saadab moodustatud URL-i (“turva-URL-i”) rakendusele A.

1b Rakendus A saadab päringu 1a vastusega 1b veebisirvijasse ümbersuunamiskorralduse (redirect), mille toimel kasutaja suunatakse rakenduselt B saadud URL-le.

3 Rakendus B kontrollib, kas saabunud URL on see, mida ta on väljastanud, loob kasutajale sessiooni ja saadab veebisirvijasse rakenduse avalehe. Kasutaja alustab (sisselogitult) tööd rakenduses B.

Turvaanalüüs. Rakendused A ja B suhtlevad X-teel, seega omavad usaldusväärseid identiteete. Vahetatavad sõnumid (2a ja 2b) on allkirjastatud. URL-is sisalduv juhuslik URL, sisuliselt nonss, toimib taasesitus- ja päringuvõltsimisrünnete tõkkena. Skeem on turvaline.

CC BY-NC-SA 4.0 Priit Parmakson 2017