GSA Cookie餅乾可以通過Java中的getRemoteUser（）來破解？

Question

我有一個Java前端應用程序連接到GSA的搜索結果。 GSA被配置爲使用來自此應用程序前端的Cookie餅乾。

通常，Java應用程序可以覆蓋getRemoteUser（）並返回一個用戶名作爲會話中的用戶。在開發中，我們可以通過此方法模擬另一個用戶，並以該用戶的身份搜索Production中的結果。

在這個意義上，它看起來像是一個安全漏洞。任何人都可以建議，如果這是一個不好的設計，並有任何推薦的解決方案嗎？

Answer 1

當您使用cookie破解時，您相信您的應用程序寫得很好，並且不會破壞安全性。

如果最終用戶可以更改標頭信息，那將是一個安全漏洞。如果搜索應用程序的開發人員可以冒充那些不是安全漏洞的人，並且在我看來更像是一個與開發人員打交道的問題。如果GSA管理員不信任開發人員，那麼他們不應該將cookie作爲解決方案。