Entrar Ainda não tem acesso?
Solucionado (ver solução)
Solucionado
(ver solução)
1
resposta

JWT + IP?

Referente ao curso OWASP: padrão de verificação de segurança de aplicações, no capítulo Fundamental Session Management Requirements e atividade Cookie Based Session Management 2

por Andrew Solera
| 767.4k xp | 2 posts
APDO-TIC

No caso de utilizar a web storage (localStorage/sessionStorage) ao invés de cookies, para evitar um roubo de sessão (XSS) eu poderia utilizar o IP do usuário para compor o JWT?

Exemplo: uma vez autenticado, ao gerar o JWT no lado do servidor eu incluiria o IP do usuário que fez o login e, a cada requisição enviada, o servidor verificaria se o IP da requisição bate com o IP armazenado no token. Caso o JWT fosse obtido através de um ataque XSS, o mesmo não teria serventia se usado em um outro browser, em outro IP.

1 resposta
solução!
por Armano Barros Alves Junior
| 2342.4k xp | 4812 posts
Alura Scuba Team Monitor | Suporte Educacional

Olá, Andrew! Tudo bem com você?

Peço desculpas pela demora no retorno a sua mensagem.

Utilizar o IP do usuário como parte do JWT pode ser uma medida adicional para evitar o roubo de sessão por meio de ataques XSS. Ao incluir o IP do usuário no token e verificar se o IP da requisição bate com o IP armazenado no token, você pode adicionar uma camada de segurança extra.

No entanto, é importante lembrar que o IP do usuário pode mudar, especialmente em casos de conexões móveis ou quando o usuário está em uma rede com IP dinâmico. Isso pode resultar em falsos positivos, bloqueando o acesso legítimo do usuário.

Além disso, é importante considerar que o IP pode ser facilmente falsificado por meio de proxies ou VPNs. Portanto, utilizar apenas o IP como medida de segurança não é uma solução completa.

Uma abordagem mais segura seria combinar o uso do IP com outras técnicas de segurança, como o uso de tokens de sessão, verificação de referência cruzada (CSRF) e outras práticas recomendadas de segurança.

Espero ter ajudado e bons estudos!