Cabeceras HTTP

Hola,

Estoy comprobando la seguridad de un sistema de votaciones y me gustaría saber qué aspectos de las cabeceras HTTP, que se intercambian entre el servidor que tiene el sistema de votaciones y el cliente que vota, son más importantes.

Pregunto esto porque he leído que a través de las cabeceras HTTP, si se modifican con un programa hecho (por ejemplo en JAVA) se podrían saltar restricciones de seguridad.

Por lo cual, yo, estoy intentando hacer un programa en JAVA para conseguir encontrar los posibles agujeros de seguridad de este sistema de votaciones.

Resumiendo, quiero saber como puedo, con JAVA, acceder a las cabeceras HTTP más importantes para modificarlas y engañar al sistema.

Gracias por la ayuda.

Hay una clase HTTPServlet en la que puedes acceder a esas cabeceras, tanto leerlas, como modificarlas como crearlas

Normalmente los sistemas de seguridad se basan en cookies, que vienen en las cabeceras, y tambien pueden utilizar cosas como la IP del navegador, el referer, el HTTP agent, usar parametros ocultos... Hay mil cosas que se pueden utilizar y depende mucho de como este hecho el sistema de seguridad de la aplicación.

Si la idea de "seguridad" es prevenir que un usuario pueda votar mas de una vez, lo mas normal es que utilicen cookies, por que aunque la IP es más segura, como no todo el mundo tiene una IP estática, suelen dar más problemas.

PD: De todas formas, eso es para sistemas simples sin autenticacion, ya que no es tan complicado hacer un sistema bastante seguro, basta con no ser cazurro al implementarlo, por que, por ejemplo, simplemente con una cookie, la IP y HTTPS, puedes echar por tierra practicamente cualquier ataque que no sea muy muy profesional.

Gracias a los dos por la rápida respuesta. Me interesa el tema de la Cookie. ¿Con la clase HTTPServlet puedo comprobar si me están "controlando" (a mi como cliente) con una cookie enviada por el sistema de votaciones?.

Otra vez, gracias por la ayuda.

Con la clase HttpServlet desarrollas la parte del servidor, así que no se a que se refiere TresPuntoDos en este caso.

Si envias una peticion al sistema, haciendo un cliente con HtmlUnit o HttUrlConnection por ejemplo, podrias controlar si te envian cookies.

De todas formas, con el navegador y una buena extension tipo la "Web Developer" ya se puede ver si te estan poniendo alguna cookie.

S!

Gracias GreeEyed. ¿Qué métodos me ofrece la clase HTTPUrlConnect para poder obtener las cookies que me manda el sistema.?

Gracias por la ayuda.

Las cookies vienen en las cabeceras, asi que si miras todas las cabeceras que vienen con getHeaderFields() y getHeaderField(), puedes ver como se ponen las cookies (cabecera "Set-Cookie") etc.

Más información, por ejemplo en la Wikipedia: http://es.wikipedia.org/wiki/Cookie#Implementaci.C3.B3n
o para información más completa, puedes mirar la especificación (RFC 2965): http://rfc.sunsite.dk/rfc/rfc2965.html

S!

Me referia a que desde el servidor, en la clase HTTPServlet puedes obtener las cabeceras del request para comprobar que le llega

Ah, pero es que él está hablando del cliente, por eso no entendía lo de usar HTTPServlet en este contexto.

Ya pero para comprobarlas si le valdria, yo por lo menos uso siempre esa clase para acceder al nombre del host, etc...

Ummm, no se si no nos entendemos pero el está hablando de que tiene que acceder a esa información desde un programa cliente, no desde un servlet. El servidor no lo ha programado él.
Tu estás hablando de comprobar en el servidor el valor de las cookies etc. pero es que el lo que quiere es ver/manipular desde un cliente las cookies que envia el servidor.

S!

Ok, entonces lo entendi mal, jeje

Ha sido un fallo por los excesos de la Navidad

Gracias a los dos por la ayuda.

Efectivamente, GreenEyed, lo entendió bien.

Entre hoy y mañana probaré vuestros consejos y ya os comento.

Gracias por la ayuda y un saludo.

¿Como puedo evitar que me envíen un Set-Cookie en la cabecera?

Gracias por la ayuda.

No lo puedes evitar. Eso ocurre en el servidor. Lo que tu puedes hacer es escoger devolverle ese valor o no. Pero evitar que te lo mande, no puedes.

S!