Bonjour à tous !
Je suis confronté à un problème des plus critique.
Mon application JSF tourne actuellement en production depuis quelques mois, et durant cette période, au moins 5 utilisateurs se sont retrouvé sur la session de quelqu'un d'autre !
Je m'explique, ils sont en train de travailler (avec bien evidement une session qui leur est propre, géré par Tomcat) et d'un seul coup, sur un changement de page ou suite à un plantage applicatif, il se retrouve connecté avec le compte de quelqu'un d'autre !
Niveau sécurité ça le fait pas du tout !
On a pu remarquer dans les logs, qu'entre un allé retour, client/serveur, un personne pouvait se voir octroyer un nouvel JSessionID (ce qui à mon avis ne devrait pas être possible)
Je ne sais pas trop par où aborder le problème... bug Tomcat ? Applicatif ? de réseaux ?
Toutes les pistes sont les bienvenues !
Merci d'avance !
Partager