別のブラウザに安全にセッションを渡すための最良の方法

Question

これは安全ではないことは分かっています。しかし、私は少なくとも私がする必要があることを最小限に抑えようと試みています。

IEブラウザコントロールを使用して構築されたカスタムクライアントがあります。私はこれを変更することはできませんし、それを変更することはこの質問の範囲にはありません。問題は、このアプリケーションでユーザーがウィンドウを開くポップアップを実行すると、クライアントアプリケーションではなくIEでウィンドウが開かれることです。

新しいウィンドウを開くCSVおよび印刷機能へのエクスポートがあります。印刷またはエクスポートする情報は、アクセス制御によって異なります。したがって、IEでウィンドウが開くと、IEにはログインしません。アクセス制御はありません。セッションをIEに渡すことができるようにして、ユーザーがログインし、適切な情報がcsvに印刷またはエクスポートされるようにする必要があります。

フォートノックスのセキュリティは必ずしも必要ではありません。それは公開ウェブサイトではなく、安全なデータではありません。しかし、すべてのセキュリティを完全に無視することなくこれを達成する方法はありますか？

Answer 1

トークンを作成し、ウィンドウをポップアップする前に、現在のユーザーとの関係でデータベースに格納します。トークンに60秒の有効期限を与え（必要に応じて調整）、ポップアップウィンドウの最後に追加します。そのURLにヒットしたら、トークンとその関連をユーザーに読んでください。そこから、ACLコントロールにアクセスできるはずです。

セッションは転送されませんが、ポップアップを要求しているユーザーはわかります。それが助けてくれることを願っています...

警告：中間の攻撃でトークンが人間に脆弱になるため、これはあまり安全ではありません。有効期限機能を追加することは、その可能性を制限する試みです。この方法は、あいまいさによってセキュリティとみなされる可能性があります。