this post was submitted on 07 Jul 2023
7 points (100.0% liked)

Dev

289 readers
2 users here now

Um lugar legal para debater e conversar sobre programação e desenvolvimento de software no Brasilsilsilsil

Seja um bom programador, e leia a documentação oficial da comunidade no post fixado.

Obrigado, e divirta-se!


Geral

Regras

Wiki do c/Linux

Megathread do c/Dev

Relacionado

c/Python

Chat

founded 1 year ago
MODERATORS
 

Além de preferir usar https, o que mais eu poderia fazer para evitar isso?

Pra quem não sabe, session hijacking, se resume á roubar o cookie que verifica a sessão do usuário, e utiliza-lo para fazer login no site, sem nem mesmo ter que passar pelo formulário de login.

Na primeira versão do sistema de login que eu criei, após a validação dos dados, cria-se um cookie que guardava apenas o valor do id do usuário logado no banco de dados. E não demorou muito para eu perceber que se substituísse o valor do cookie para qualquer número, após recarregar a página, você já teria invadido a conta de alguém aleatório...

Então eu dei uma tunada nesse sistema, e usei o jwt, para criar um token e criptografar o id do usuário, e a hash da senha, assim, se alguém for criar um token manualmente, ele precisaria saber a hash da senha da vítima.

Mas não sei se isso é o suficiente, ou é?

Se alguém souber o que eu poderia fazer, fala aí nos comentários por favor, é para o meu TCC :(

no comments (yet)
sorted by: hot top controversial new old
there doesn't seem to be anything here