Verschlüsseln von Sitzungs-IDs zur Behebung von Sicherheitslücken

casm173
CA Service Desk Manager (SDM) verwendet die Sitzungs-ID für die Authentifizierung der Requests des Anwenders. Diese Sitzungs-ID wird über den Webbrowser hin und her gesendet. Ein Angreifer kann die Sitzungs-ID automatisch generieren und unbefugten Zugriff auf CA SDM erhalten, wenn die Sitzungs-ID mit einer der aktiven SIDs in SDM übereinstimmt. Ein Angreifer kann die SDM-Web-URL mit einem Man-in-the-Middle-Angriff ermitteln und kann die URL wiedergeben, um unbefugten Zugriff auf SDM zu erhalten. Das Verwenden der verschlüsselten Sitzungs-ID und das Cookie zur Authentifizierung von Anwender-Requests haben möglicherweise eine minimale Auswirkung auf die Performance von SDM.
Folgende Attribute werden im Optionsmanager zur Unterstützung von verschlüsselten Sitzungs-IDs hinzugefügt:
  • use_encrypted_sid_and_cookie (optional)
    Verwenden Sie eine verschlüsselte SID und Cookies, um Spoofing und "Man-in-the-middle"-Angriffe zu verhindern. Standardmäßig ist dieses Attribut deaktiviert. Falls Sie über erweiterte CA SDM-Sicherheit verfügen möchten, kann dieses Attribut aktiviert (auf 'Yes' gesetzt) werden.
  • force_browser_to_send_cookie_only_in_ssl_connection
    (optional)
    Zwingen Sie den Browser nur dann, das Sitzungs-ID-(SID-)Cookie zu senden, wenn eine SSL-Verbindung vorhanden ist. Dieses Attribut ist nur anwendbar, wenn Sie
    use_encrypted_sid_and_cookie
    aktiviert (auf "Yes" gesetzt) haben. Standardmäßig ist dies deaktiviert. Wird das Flag aktiviert, kann auf CA SDM nur über eine SSL-Verbindung zugegriffen werden.
    Weitere Informationen finden Sie unter "Optionsmanager", "Sicherheitsoptionen".