Problèmes de sécurité avec Itsdangerous pour la gestion de session?

Le contenu d'un cookie signé avec Itsdangerous peut être inspecté mais pas modifié. Y a-t-il des problèmes de sécurité ou des considérations connus lors de l'utilisation de Itsdangerous pour la gestion de session côté client?Problèmes de sécurité avec Itsdangerous pour la gestion de session?

La session en question ne sera pas stocker les mots de passe, mais il est évident des informations pour identifier l'utilisateur, tels que

ID utilisateur
URL pour avatar
Rôle utilisateur (s)

Source

2011-11-07 poezn

Si vous n'utilisez pas un délai d'expiration sur votre signature, un attaquant pourrait simplement échanger le cookie d'un autre utilisateur (ou admin). Les identifiants de session sont plus opaques, ce qui signifie qu'un attaquant devrait essayer chacun d'eux à tour de rôle, mais une chaîne signée pourrait juste être inspectée à la volée (disons, un serveur proxy ouvert).

Source

2012-10-03 16:53:11 mattbasta

Dans une approche des points de terminaison de l'API REST, la chaîne signée est fournie par le serveur lors de la connexion avec un mot de passe et est envoyée avec chaque ID utilisateur avec une période d'expiration de X heures. La chaîne signée est également stockée sur le serveur. Lors de la déconnexion, la chaîne est supprimée du serveur. De cette façon, la chaîne (token) fonctionne comme un mot de passe temporaire pendant 2 heures (ou moins s'il y a une déconnexion). – Soferio

Problèmes de sécurité avec Itsdangerous pour la gestion de session?

Répondre

Questions connexes