Olá, sei que a partir do primeiro login, a identificação do cliente fica guardada em um cookie para ser utilizada nas próximas requisições. O cookie, até onde entendi, é um simples arquivo em uma determinada pastada do navegador. Esses arquivos de cookies, funcionam em outro computador? Ou seja, se alguém ir no meu computador e roubar um cookie que identifica meu login em um site, ele pode ser usado para burlar o acesso usando minha identificação?
Solucionado (ver solução)
Solucionado
(ver solução)
6
respostas
respostas
Autenticação do cliente com cookie
solução!
Sim. É possível. Se a única forma de identificar o usuário for o "cookie", é totalmente possível.
Olá Gabriel Arsênio,
Apenas para complementar a resposta do Gabriel Filho: Sim, isso é possível! Inclusive, um roubo de sessão pode ser realizada ao se obter os cookies com as informações de acesso de um certo usuário, por isso criaram outros mecanismos de segurança, como hash de sessão atual criptografada com uma chave no servidor e segurança em múltiplas contas e acessos! Você pode pesquisar mais sobre isso na Internet, você encontra informações bem legais sobre segurança e como funcionam esses mecanismos!
Abraços e bom estudos!
Muito bom, Daniel.
Irei aprofundar meus estudos com essas dicas.
Obrigado, abraços.
Olá.
Desculpe ressuscitar o tópico, mas gostaria de adicionar mais uma informação.
Sabendo que a resposta pra sua pergunta é sim, você deve imaginar que há formas de fazer outras combinações que garantem mais a veracidade da requisição. Uma coisa comum a se fazer também é, além de verificar o hash do cookie, o servidor pedir a sessionId do navegador que está enviando a requisição. O navegador gera uma sessionId para cada aba (ou janela, não lembro) e, levando em conta que no banco de dados isso também é salvo, você poderia tentar fazer um match do hash com o sessionId de navegador que foi salvo no login. Já aumenta a segurança, pois mesmo com o seu cookie, o cara usando outro browser terá outra sessionId. Ele ainda pode interceptar isso? Sim, mas segurança da informação é isso, dificultar cada vez mais o trabalho do atacante.
Olá Bruno.
Realmente, o sessionId é um bom recurso e tranquilo de implementar. Atualmente estou estudando a autenticação via Token, algo que possibilite a criação da opção "Mantenha-me conectado" e que também permita que client utilize recursos do servidor sem precisar de uma sessão ativa.
Obrigado pela contribuição!
Fala Gabriel.
Se tratando de API, por exemplo, é muito comum autenticação via token. Assim fica bacana porque é seguro e você pode trabalhar com ReST de boa, de forma stateless, aumentando a segurança.