Solucionado
Caro Instrutor!
Quando o acesso site do Alura gera uma sessão e um cookie que foi implementado PHP, Java, .NET etc e com isso é gerado um Hash um numero gigante que podemos acessá-lo através do browser clicando no cadeado(https). Esse número Hash, se por um acaso invadir minha máquina, ou ainda, algum colega de trabalho mal intencionado veja esse número e o guarde, consegue gerar um cookie manualmente e logar ao Alura através dele juntamente com outros dados da sessão?
Oi Eberson,
Infelizmente, sim. Se alguém copiar seu cookie vai conseguir entrar na sua conta como se fosse você. E não só aqui na Alura, em outros serviços tbm. Garantir que seus cookies estão a salvo é tão importante quanto proteger suas senhas!
Dá pra fazer algumas medidas paliativas, como no servidor verificar tbm o IP do usuário além do cookie. Mas isso é falho e ruim pro usuário que perderia sessão ao mudar de rede.
Aliás, é justo por causa desse ataque de roubo de cookies que muitos serviços pedem sua senha novamente ao fazer algo muito sensível. Querem verificar se é você mesmo, mesmo o cookie estando lá.
No cookie de JSESSIONID, o Hash é o mesmo toda vez q eu acessar o alura?
Não é gerado um Hash novo e aleatório toda vez q o cliente abrir uma sessão?
A sessão (e o JSESSIONID) é gerada a cada novo login