a small clarification... I only meant what specific benefits ESAPI provides around session generation and handling (not the entire API)<br><br>thanks!<br><br>F<br><br><div class="gmail_quote">On Sat, Jan 16, 2010 at 5:35 PM, Fabio Cerullo <span dir="ltr">&lt;<a href="mailto:fcerullo@gmail.com">fcerullo@gmail.com</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">so assuming the application server supports CSPRNG and they are using it properly... is it advisable to use ESAPI encryptor?<br>
<br>in fact... what would be a typical use for ESAPI encryptor? for example transfering sensitive data between applications?<br>
<br>what other benefits ESAPI provides besides the ones Jeff &amp; Kevin mentions about session fixation and prediction?<br><br>thanks for this interesting discussion :)<br><font color="#888888"><br>F</font><div><div></div>
<div class="h5"><br><br><div class="gmail_quote">On Sat, Jan 16, 2010 at 3:01 PM, Jeff Williams <span dir="ltr">&lt;<a href="mailto:jeff.williams@aspectsecurity.com" target="_blank">jeff.williams@aspectsecurity.com</a>&gt;</span> wrote:<br>

<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">I agree that using standard session mechanisims is the best course for most apps.<br>
<br>
Also should note that ESAPI automatically changes the sessionid upon login (or manually) to prevent fixation. In my experience very few applications do this properly.<br><font color="#888888">
<br>
--Jeff</font><div><div></div><div><br>
<br>
<br>
<br>
<br>
On Jan 16, 2010, at 9:51 AM, &quot;Kevin W. Wall&quot; &lt;<a href="mailto:kevin.w.wall@gmail.com" target="_blank">kevin.w.wall@gmail.com</a>&gt; wrote:<br>
<br>
</div></div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div><div></div><div>
Fabio Cerullo wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Kevin,<br>
<br>
based on initial conversations with development they are planning to use AES<br>
in order to create a cryptographically secure token in the same sense that a<br>
CSPRNG does... nothing more, nothing less.<br>
<br>
so based on your answer I would recommend the use of a CSPRNG in case the<br>
application server supports it or else use ESAPI as a replacement for<br>
CSPRNG.<br>
</blockquote>
<br>
Fabio,<br>
<br>
What neglected to say, but should have, is that all commercial JavaEE<br>
application servers that I&#39;m aware of (e.g., WebLogic Server, WebSphere,<br>
etc.) and many of the free ones (e.g., JBoss, Glassfish, etc.) already<br>
use a CSPRNG. So unless you are implementing your own session management,<br>
you probably don&#39;t need it. However, you should check the app server<br>
documentation or with your vendor to be sure.<br>
<br>
Personally, I would make sure that your developers are aware of and<br>
mitigating against HTTP Session _Fixation_ attacks (see<br>
<a href="http://www.owasp.org/index.php/Session_Fixation" target="_blank">http://www.owasp.org/index.php/Session_Fixation</a>). With today&#39;s<br>
app servers, this is much more likely to be a problem than is<br>
HTTP Session _Prediction_ (see<br>
<a href="http://www.owasp.org/index.php/Session_Prediction" target="_blank">http://www.owasp.org/index.php/Session_Prediction</a>) which most<br>
vendors have already addresses.<br>
<br>
-kevin<br>
-- <br>
Kevin W. Wall<br>
&quot;The most likely way for the world to be destroyed, most experts agree,<br>
is by accident. That&#39;s where we come in; we&#39;re computer professionals.<br>
We cause accidents.&quot;        -- Nathaniel Borenstein, co-creator of MIME<br></div></div><div>
_______________________________________________<br>
Esapi-user mailing list<br>
<a href="mailto:Esapi-user@lists.owasp.org" target="_blank">Esapi-user@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/esapi-user" target="_blank">https://lists.owasp.org/mailman/listinfo/esapi-user</a><br>
</div></blockquote>
</blockquote></div><br>
</div></div></blockquote></div><br>