From caritas.jp @ gmail.com Sun Jul 3 10:04:03 2011 From: caritas.jp @ gmail.com (Caritas Caritas) Date: Sun, 3 Jul 2011 10:04:03 +0900 Subject: [Wicket-ja-user 551] =?iso-2022-jp?b?GyRCIVYlWiE8JThDMTBMIVckRxsoQkhUVFAbJEJETD8uGyhC?= =?iso-2022-jp?b?GyRCJEgbKEJIVFRQUxskQkRMPy4kckBaJGpCWCQoJGsbKEI=?= =?iso-2022-jp?b?GyRCN28bKEI=?= Message-ID: はじめまして、斉藤と申します。 SSLの設定で困っています。 プレゼンテーション層にWicketを利用した場合、「ページ単位」 でHTTP通信とHTTPS通信を切り替えることは可能でしょうか? 具体的には、Webアプリケーションにおいてパスワード情報を送 信するページのみをHTTPSで通信するといったことを実現したい と考えています。 HTTP通信とHTTPS通信が混在すると、ページ間におけるセション の引継ぎができないところまで把握出来ています。 同様の課題を解決された方が居られましたらご教授ください。 環境 クライアント ブラウザ IE 8 サーバ WebAPサーバ tomcat7 JDK 1.6 Wicket 1.4.17 よろしくお願い致します。 ----------------------------------- caritas.jp @ gmail.com -------------- next part -------------- HTMLの添付ファイルを保管しました... URL: http://lists.sourceforge.jp/mailman/archives/wicket-ja-user/attachments/20110703/b27c7b30/attachment.htm From webmaster @ chimera.st Sun Jul 3 19:50:31 2011 From: webmaster @ chimera.st (Hideyuki TAKEUCHI) Date: Sun, 03 Jul 2011 19:50:31 +0900 Subject: [Wicket-ja-user 552] Re: =?iso-2022-jp?b?GyRCIVYlWiE8JThDMTBMIVckRxsoQkhUVFA=?= =?iso-2022-jp?b?GyRCREw/LiRIGyhCSFRUUFMbJEJETD8uJHJAWiRqQlgkKCRrN28bKEI=?= In-Reply-To: References: Message-ID: <4E104977.10006@chimera.st> たけうちと申します。 可能です。以前そのようなサイトを作ったことがあります。 自分は別の方法でやりましたが、最近は org.apache.wicket.protocol.https.HttpsRequestCycleProcessor というものがあるようです。これを使うとRequireHttpsという アノテーションをつけたページがHTTPSに切り替わるようです。 http://wicket.apache.org/apidocs/1.4/org/apache/wicket/protocol/https/HttpsRequestCycleProcessor.html ただし、上のdocにも書いてありますが、JSESSIONIDのcookieを作るのに http通信の時に先に作っておかないと(httpのページに先にアクセスさせない と)JSESSIONIDがsecureとマークされてしまいhttps->httpの切り替え時に 引き継がれなくなります。 あと、こちらのページも参考に https://cwiki.apache.org/WICKET/how-to-switch-to-ssl-mode.html -- たけうち @chimerast (11/07/03 10:04), Caritas Caritas wrote: > はじめまして、斉藤と申します。 > > SSLの設定で困っています。 > プレゼンテーション層にWicketを利用した場合、「ページ単位」 > でHTTP通信とHTTPS通信を切り替えることは可能でしょうか? > > 具体的には、Webアプリケーションにおいてパスワード情報を送 > 信するページのみをHTTPSで通信するといったことを実現したい > と考えています。 > HTTP通信とHTTPS通信が混在すると、ページ間におけるセション > の引継ぎができないところまで把握出来ています。 > 同様の課題を解決された方が居られましたらご教授ください。 > > 環境 > クライアント >  ブラウザ IE 8 > サーバ >  WebAPサーバ tomcat7 >  JDK 1.6 >  Wicket 1.4.17 > > よろしくお願い致します。 > ----------------------------------- > caritas.jp @ gmail.com > > > _______________________________________________ > Wicket-ja-user mailing list > Wicket-ja-user @ lists.sourceforge.jp > http://lists.sourceforge.jp/mailman/listinfo/wicket-ja-user From takayoshi @ gmail.com Sun Jul 3 22:08:07 2011 From: takayoshi @ gmail.com (Takayoshi Kimura) Date: Sun, 3 Jul 2011 22:08:07 +0900 Subject: [Wicket-ja-user 553] Re: =?iso-2022-jp?b?GyRCIVYlWiE8JThDMTBMIVckRxsoQkhUVFA=?= =?iso-2022-jp?b?GyRCREw/LiRIGyhCSFRUUFMbJEJETD8uJHJAWiRqQlgbKEI=?= =?iso-2022-jp?b?GyRCJCgkazdvGyhC?= In-Reply-To: References: Message-ID: きむらです。 もしご存知の上で対策を含めそれを実装しようとしているのであれば問題ないのですが、知らない人も居ると思うので念のため。 同一アプリケーション空間にhttpとhttpsの両方からアクセスできる構成、というのはセキュリティアンチパターンの一つであり、なるべく避けるべきです。 http://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/304.html httpでやりとりされる情報は漏洩の可能性が非常に高いですが、逆にhttpsはそれを防ぐものです。その上で、アプリケーションでhttpからhttpsに安易に情報を渡して利用するようなことをしてしまうと、この前提は簡単に壊れます。 扱っている入力がhttp/httpsのどちらから渡されて、信用できるのかどうか、という検証を全ての入力に対し漏れなく実装できていれば問題はないのですが、これにはアプリケーション実装の全体に渡り細心の注意が必要となります。安易に採用すべき構成ではないでしょう。基本的には同一アプリケーションにhttp/https両方でアクセスできるような構成はとらない、というのが無難です。先のURLにも書いてありますが、「混ぜるな危険」です。 Regards, Takayoshi 2011/7/3 Caritas Caritas : > はじめまして、斉藤と申します。 > > SSLの設定で困っています。 > プレゼンテーション層にWicketを利用した場合、「ページ単位」 > でHTTP通信とHTTPS通信を切り替えることは可能でしょうか? > > 具体的には、Webアプリケーションにおいてパスワード情報を送 > 信するページのみをHTTPSで通信するといったことを実現したい > と考えています。 > > HTTP通信とHTTPS通信が混在すると、ページ間におけるセション > の引継ぎができないところまで把握出来ています。 > 同様の課題を解決された方が居られましたらご教授ください。 > > 環境 > クライアント >  ブラウザ IE 8 > サーバ >  WebAPサーバ tomcat7 >  JDK 1.6 >  Wicket 1.4.17 > > よろしくお願い致します。 > ----------------------------------- > caritas.jp @ gmail.com > _______________________________________________ > Wicket-ja-user mailing list > Wicket-ja-user @ lists.sourceforge.jp > http://lists.sourceforge.jp/mailman/listinfo/wicket-ja-user > > From caritas.jp @ gmail.com Tue Jul 5 22:06:49 2011 From: caritas.jp @ gmail.com (Caritas Caritas) Date: Tue, 5 Jul 2011 22:06:49 +0900 Subject: [Wicket-ja-user 554] Re: =?iso-2022-jp?b?V2lja2V0LWphLXVzZXIgGyRCJF4kSCRhRkkkXxsoQiwg?= =?iso-2022-jp?b?MzkgGyRCNCwbKEIsIDIgGyRCOWYbKEI=?= In-Reply-To: References: Message-ID: 2011年7月4日12:00 : > Wicket-ja-user > メーリングリストへの投稿は以下のアドレスに送ってください. > wicket-ja-user @ lists.sourceforge.jp > > Webブラウザを使って入退会するには以下のURLにどうぞ. > http://lists.sourceforge.jp/mailman/listinfo/wicket-ja-user > メールを使う場合,件名(Subject:)または本文に help と書いて以下の > アドレスに送信してください. > wicket-ja-user-request @ lists.sourceforge.jp > > メーリングリストの管理者への連絡は,以下のアドレスにお願いします. > wicket-ja-user-owner @ lists.sourceforge.jp > > 返信する場合,件名を書き直して内容がわかるようにしてください. > そのままだと,以下のようになってしまいます. "Re: Wicket-ja-user > まとめ読み, XX 巻 XX 号" > > > 本日の話題: > > 1. [Wicket-ja-user 552] Re: > 「ページ単位」でHTTP通信とHTTPS通信を切り替える件 (Hideyuki TAKEUCHI) > 2. [Wicket-ja-user 553] Re: > 「ページ単位」でHTTP通信とHTTPS通信を切り替える件 (Takayoshi Kimura) > > > ---------------------------------------------------------------------- > > Message: 1 > Date: Sun, 03 Jul 2011 19:50:31 +0900 > From: Hideyuki TAKEUCHI > Subject: [Wicket-ja-user 552] Re: > 「ページ単位」でHTTP通信とHTTPS通信を切り替える件 > To: wicket-ja-user @ lists.sourceforge.jp > Message-ID: <4E104977.10006 @ chimera.st> > Content-Type: text/plain; charset=ISO-2022-JP > > たけうちと申します。 > > 可能です。以前そのようなサイトを作ったことがあります。 > > 自分は別の方法でやりましたが、最近は > org.apache.wicket.protocol.https.HttpsRequestCycleProcessor > というものがあるようです。これを使うとRequireHttpsという > アノテーションをつけたページがHTTPSに切り替わるようです。 > > > http://wicket.apache.org/apidocs/1.4/org/apache/wicket/protocol/https/HttpsRequestCycleProcessor.html > > ただし、上のdocにも書いてありますが、JSESSIONIDのcookieを作るのに > http通信の時に先に作っておかないと(httpのページに先にアクセスさせない > と)JSESSIONIDがsecureとマークされてしまいhttps->httpの切り替え時に > 引き継がれなくなります。 > > あと、こちらのページも参考に > https://cwiki.apache.org/WICKET/how-to-switch-to-ssl-mode.html > > -- > たけうち > @chimerast > > (11/07/03 10:04), Caritas Caritas wrote: > > はじめまして、斉藤と申します。 > > > > SSLの設定で困っています。 > > プレゼンテーション層にWicketを利用した場合、「ページ単位」 > > でHTTP通信とHTTPS通信を切り替えることは可能でしょうか? > > > > 具体的には、Webアプリケーションにおいてパスワード情報を送 > > 信するページのみをHTTPSで通信するといったことを実現したい > > と考えています。 > > HTTP通信とHTTPS通信が混在すると、ページ間におけるセション > > の引継ぎができないところまで把握出来ています。 > > 同様の課題を解決された方が居られましたらご教授ください。 > > > > 環境 > > クライアント > > ブラウザ IE 8 > > サーバ > > WebAPサーバ tomcat7 > > JDK 1.6 > > Wicket 1.4.17 > > > > よろしくお願い致します。 > > ----------------------------------- > > caritas.jp @ gmail.com > > > > > > _______________________________________________ > > Wicket-ja-user mailing list > > Wicket-ja-user @ lists.sourceforge.jp > > http://lists.sourceforge.jp/mailman/listinfo/wicket-ja-user > > お世話になっております。斉藤です。 > たけうち(Hideyuki TAKEUCHI )様 > 返信ありがとうございます。 >最近はorg.apache.wicket.protocol.https.HttpsRequestCycleProcessor >というものがあるようです。これを使うとRequireHttpsという >アノテーションをつけたページがHTTPSに切り替わるようです。 > http://wicket.apache.org/apidocs/1.4/org/apache/wicket/protocol/https/HttpsRequestCycleProcessor.html >あと、こちらのページも参考に >https://cwiki.apache.org/WICKET/how-to-switch-to-ssl-mode.html 現在の状況を報告致します。 後記URLについては参考にして検証を行いました。 その結果、現行のWicketはページごとのセッションをorg.apache.wicket.Requestオブジェクトをキー にSessionStoreに登録するため、HttpRequestで登録したセッションをキーの異なるHttpsRequest では参照できないためセッションを引き継げす、 「ページ単位」でHTTP通信とHTTPS通信を切り替 えることができないと私は理解しました。 この問題を解決する手段としてISessionStoreを独自に実装することも考えたのですが、登録キー がorg.apache.wicket.Requestである限り難しいのではと考えております。 前記URLの検証はまだできておりませんが、セッション管理をからめると上記の理由でできないの ではと考えております。なお、セッション管理をしなければ 「ページ単位」でHTTP通信とHTTPS通 信の切り替えはできております。 たけうち(Hideyuki TAKEUCHI )様がされた別のやり方法はとどのようなものでしょうか? 可能でしたらご教授ください。 > きむら(Takayoshi Kimura)様 > >同一アプリケーション空間にhttpとhttpsの両方からアクセスできる構成、 >というのはセキュリティアンチパターンの一つであり、なるべく避けるべきです。 > http://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/304.html 返信ありがとうございます。 参考にさせて頂きます。 > ------------------------------ > > Message: 2 > Date: Sun, 3 Jul 2011 22:08:07 +0900 > From: Takayoshi Kimura > Subject: [Wicket-ja-user 553] Re: > 「ページ単位」でHTTP通信とHTTPS通信を切り替える件 > To: wicket-ja-user @ lists.sourceforge.jp > Message-ID: > > > Content-Type: text/plain; charset=ISO-2022-JP > > きむらです。 > > もしご存知の上で対策を含めそれを実装しようとしているのであれば問題ないのですが、知らない人も居ると思うので念のため。 > > 同一アプリケーション空間にhttpとhttpsの両方からアクセスできる構成、というのはセキュリティアンチパターンの一つであり、なるべく避けるべきです。 > > > http://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/304.html > > > httpでやりとりされる情報は漏洩の可能性が非常に高いですが、逆にhttpsはそれを防ぐものです。その上で、アプリケーションでhttpからhttpsに安易に情報を渡して利用するようなことをしてしまうと、この前提は簡単に壊れます。 > > > 扱っている入力がhttp/httpsのどちらから渡されて、信用できるのかどうか、という検証を全ての入力に対し漏れなく実装できていれば問題はないのですが、これにはアプリケーション実装の全体に渡り細心の注意が必要となります。安易に採用すべき構成ではないでしょう。基本的には同一アプリケーションにhttp/https両方でアクセスできるような構成はとらない、というのが無難です。先のURLにも書いてありますが、「混ぜるな危険」です。 > > Regards, > Takayoshi > > 2011/7/3 Caritas Caritas : > > はじめまして、斉藤と申します。 > > > > SSLの設定で困っています。 > > プレゼンテーション層にWicketを利用した場合、「ページ単位」 > > でHTTP通信とHTTPS通信を切り替えることは可能でしょうか? > > > > 具体的には、Webアプリケーションにおいてパスワード情報を送 > > 信するページのみをHTTPSで通信するといったことを実現したい > > と考えています。 > > > > HTTP通信とHTTPS通信が混在すると、ページ間におけるセション > > の引継ぎができないところまで把握出来ています。 > > 同様の課題を解決された方が居られましたらご教授ください。 > > > > 環境 > > クライアント > > ブラウザ IE 8 > > サーバ > > WebAPサーバ tomcat7 > > JDK 1.6 > > Wicket 1.4.17 > > > > よろしくお願い致します。 > > ----------------------------------- > > caritas.jp @ gmail.com > > _______________________________________________ > > Wicket-ja-user mailing list > > Wicket-ja-user @ lists.sourceforge.jp > > http://lists.sourceforge.jp/mailman/listinfo/wicket-ja-user > > > > > > ------------------------------ > > _______________________________________________ > Wicket-ja-user mailing list > Wicket-ja-user @ lists.sourceforge.jp > http://lists.sourceforge.jp/mailman/listinfo/wicket-ja-user > > > 以上: Wicket-ja-user まとめ読み, 39 巻, 2 号 > ******************************************** > -------------- next part -------------- HTMLの添付ファイルを保管しました... URL: http://lists.sourceforge.jp/mailman/archives/wicket-ja-user/attachments/20110705/9195cf76/attachment-0001.htm From caritas.jp @ gmail.com Tue Jul 5 22:43:13 2011 From: caritas.jp @ gmail.com (Caritas Caritas) Date: Tue, 5 Jul 2011 22:43:13 +0900 Subject: [Wicket-ja-user 555] Re: =?iso-2022-jp?b?V2lja2V0LWphLXVzZXIgGyRCJF4kSCRhRkkkXxsoQiwg?= =?iso-2022-jp?b?MzkgGyRCNCwbKEIsIDIgGyRCOWYbKEI=?= In-Reply-To: References: Message-ID: お世話になっております。斉藤です。 >同一アプリケーション空間にhttpとhttpsの両方からアクセスできる構成、 >というのはセキュリティアンチパターンの一つであり、なるべく避けるべきです。 > http://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/304.html 木村様、有益な情報ありがとうございます。 現行のWicketの作りをみるとセッションを維持した状態で「ページ単位」でHTTP通信と HTTPS通信の切り替えを敢えてやらせないようにしているようにも思えます。 WicketのホームページにはWicketの特徴としてDefault Secureであることを挙げていますが、 このDefault Secureの実施事項として木村様よりご指摘頂いたセキュリティアンチパターンが 含まれているのでしょうか? ご存知の方がいらしたらご教授願います。 宜しくお願い致します。 ------------------------------------------------------------------- caritas.jp @ gmail.com 斉藤知隆(saito tomotaka) > きむらです。 >> >> もしご存知の上で対策を含めそれを実装しようとしているのであれば問題ないのですが、知らない人も居ると思うので念のため。 >> >> >> 同一アプリケーション空間にhttpとhttpsの両方からアクセスできる構成、というのはセキュリティアンチパターンの一つであり、なるべく避けるべきです。 >> >> >> http://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/304.html >> >> >> httpでやりとりされる情報は漏洩の可能性が非常に高いですが、逆にhttpsはそれを防ぐものです。その上で、アプリケーションでhttpからhttpsに安易に情報を渡して利用するようなことをしてしまうと、この前提は簡単に壊れます。 >> >> >> 扱っている入力がhttp/httpsのどちらから渡されて、信用できるのかどうか、という検証を全ての入力に対し漏れなく実装できていれば問題はないのですが、これにはアプリケーション実装の全体に渡り細心の注意が必要となります。安易に採用すべき構成ではないでしょう。基本的には同一アプリケーションにhttp/https両方でアクセスできるような構成はとらない、というのが無難です。先のURLにも書いてありますが、「混ぜるな危険」です。 >> >> Regards, >> Takayoshi >> >> 2011/7/3 Caritas Caritas : >> > はじめまして、斉藤と申します。 >> > >> > SSLの設定で困っています。 >> > プレゼンテーション層にWicketを利用した場合、「ページ単位」 >> > でHTTP通信とHTTPS通信を切り替えることは可能でしょうか? >> > >> > 具体的には、Webアプリケーションにおいてパスワード情報を送 >> > 信するページのみをHTTPSで通信するといったことを実現したい >> > と考えています。 >> > >> > HTTP通信とHTTPS通信が混在すると、ページ間におけるセション >> > の引継ぎができないところまで把握出来ています。 >> > 同様の課題を解決された方が居られましたらご教授ください。 >> > >> > 環境 >> > クライアント >> > ブラウザ IE 8 >> > サーバ >> > WebAPサーバ tomcat7 >> > JDK 1.6 >> > Wicket 1.4.17 >> > >> > よろしくお願い致します。 >> > ----------------------------------- >> > caritas.jp @ gmail.com >> > _______________________________________________ >> > Wicket-ja-user mailing list >> > Wicket-ja-user @ lists.sourceforge.jp >> > http://lists.sourceforge.jp/mailman/listinfo/wicket-ja-user >> > >> > >> >> ------------------------------ >> >> _______________________________________________ >> Wicket-ja-user mailing list >> Wicket-ja-user @ lists.sourceforge.jp >> http://lists.sourceforge.jp/mailman/listinfo/wicket-ja-user >> >> >> 以上: Wicket-ja-user まとめ読み, 39 巻, 2 号 >> ******************************************** >> > > -------------- next part -------------- HTMLの添付ファイルを保管しました... URL: http://lists.sourceforge.jp/mailman/archives/wicket-ja-user/attachments/20110705/d50201ff/attachment.htm