ユーザがログインしてセッションハイジャックした後のスプリングセキュリティクッキー

Question

私が理解する限り、ユーザがスプリングセキュリティにログインすると、セッションが無効になり、新しいものが作成されます。
もし私がhttpからclear sessionID cookieを持って来たのならば、Spring Securityは新しいセッションIDの '安全な'クッキーを設定しなければなりません。これは後続のhttpsリクエストでのみブラウザから返送されます。
私が紛失しているのは、ログインしたユーザーがhttpsからhttpに切り替えるときに、セッションを追跡するために非セキュアなCookieとして保存されているsessionID Cookieがなければならないということです。
私は春の管理方法を理解していません。
ユーザーがhttpを参照するとログインした後、クリアされたsessionID CookieはセキュアなSessionIDと同じであり、それは世界中に公開されていますか？誰かがそれを読んでセッションをハイジャックすることができます。
春のセキュリティの流れを理解できないのですが、誰かが私にどのように機能するのか説明できますか？
ありがとう

Answer 1

あなたが説明した理由で、HTTPセッションとHTTPSセッションを混在させないことをお勧めします。実際には、HTTPSを介してログインしているように見えます.HTTPSに戻ると、ブラウザはセキュリティ保護されたセッションCookieを送信しません。

[...]セッションは、セッション クッキーは、「安全な」 その後、HTTPの下で使用することはできないとしてマークされたHTTPSの下 を、作成しました。 ブラウザは、サーバーにクッキーを戻しません。 とセッション状態 が失われます（セキュリティー情報は コンテキスト情報を含む）。セッションクッキーは、セキュア としてマークされることはありません として動作するはずです最初のHTTPで セッションを開始する（あなたは、ログイン に新しいセキュアなセッションを作成 からそれを防ぐために 春Securityのセッション固定 保護のサポートを無効にする必要があります（ の新しいセッションを作成することができます） HTTPとHTTPSの切り替えは です。一般的には、 のアプリケーションでは がman-in-真中にある の攻撃。本当に安全であるためには、ユーザ はであなたのサイトへのアクセスを開始する必要がありますHTTPSを入力して、 がログアウトするまで使用してください。 HTTP経由でアクセスしたページからHTTPS リンクをクリックしても、潜在的に危険なのは です。 http://static.springsource.org/spring-security/site/faq.html

から