lost and found ( for me ? )

SSL クライアント認証 ブラウザはセッションIDをReuseする?

ブラウザを閉じると、また クライアント認証が走る
セッションIDの Reuse はしないようだ。

クライアント認証までする環境で、新規セッションで、クライアント認証すっ飛ばして、セッションIDの
Reuseで認証OKにしちゃったら、セキュリティレベルが低下するだろうから、妥当な動作だと思う。

SSL クライアント認証環境で、ブラウザと開いて、閉じてを3回行ったあとのキャプチャデータ。

Session ID は毎回異なる。
毎回、クライアント認証を求められる。

ブラウザ: Firefox 3.6
Apache/2.2.14 ( Fedora 12 )

# tshark -r https_client_auth_firefox.pcap -V | grep -i "session id:" | uniq
Session ID: 02EE3BAE95127C2F638B8BD549447377F1FDBB9EC1488FE3...
Session ID: 3BDA2066314EE28B5478EE88C7C18F3917AF4B567073DD8B...
Session ID: 38976C180DA4FAF4F41E814A14CA8C1F6D2747AD7A33D3F2...

No comments:

Post a Comment

Note: Only a member of this blog may post a comment.