Entrar Ainda não tem acesso?
Solucionado (ver solução)
Solucionado
(ver solução)
2
respostas

Cookie, Sessionid, timeout da sessão, segurança

Referente ao curso HTTP: Entendendo a web por baixo dos panos, no capítulo O cliente pede e o servidor responde e atividade Sessão HTTP

por Pedro Ávila
| 330.4k xp | 175 posts

Olá, me surgiram algumas dúvidas que têm relação com a seguinte: https://cursos.alura.com.br/forum/topico-substituicao-da-sessionid-28657

  • Toda session tem um timeout?
  • Após o timeout de uma sessão, sempre será gerada uma nova SESSIONID em um novo login?

Caso a respostas para estas perguntas sejam algo como "nem sempre", a sessão ainda seria segura? Ou seja, alguém que tivesse acesso ao cookie de outra pessoa poderia copiá-lo e incluí-lo no próprio navegador e acessar uma sessão de algum site desta pessoa?

2 respostas
solução!
por Daniel Omnion
| 1014.4k xp | 1150 posts

Sim, toda sessão tem timeout, isso depende das configurações aplicadas no servidor. Quando a sessão expira, se gera um novo id de sessão.

É possível acessar a sessão de outra pessoa. Depois de autenticar num site, todo request envia um cookie com o SessionID, se alguém conseguir interceptar esse cookie, ocorreria o roubo da sessão.

No curso de segurança para a Web se mostra na prática como isso pode ser feito

https://cursos.alura.com.br/course/seguranca-web-vulnerabilidades-do-seu-sistema
por Pedro Ávila
| 330.4k xp | 175 posts

Bom saber Daniel, obrigado pela dica do curso, vai pra lista.