Cuando salí de un sitio sin cerrar la sesión, ¿la próxima vez que navego por ese sitio descubrí que estoy conectado allí? ¿Cómo ese servidor restaura el valor de la sesión para mi navegador? ¿Hay alguna posibilidad de ser pirateado en este proceso? ¿Ese valor de sesión restaurado puede ser robado por otros? por favor comparte tu concepto sobre esto. gracias de antemano¿Se puede piratear el valor de la sesión?
En todas las tecnologías yo sepa valores de sesión basada en Web se almacenan en el servidor remoto. Por lo tanto, para hackear los valores de su sesión, sería necesario hackear el servidor remoto. Lo que está encontrando es el hecho de que su identificador de sesión está almacenado en una cookie (session cookie), de modo que cuando vuelve a abrir su navegador, la cookie se utiliza para identificarlo y proporcionarle acceso a su sesión remota. Normalmente, las cookies de sesión tienen un TTL corto (tiempo de vida) antes de que caduquen y se cierre la sesión, pero si no lo hace, el cierre de sesión explícito debe borrarlo. Si está realmente preocupado, puede eliminar sus cookies.
Lo que está viendo es el resultado de una cookie almacenada con su navegador para aferrarse a la información de esa sesión. ¿Puede ser pirateado? Depende del sitio/aplicación, pero no más de lo que podría ser si no hubiera cerrado su navegador.
Utiliza cookies, una cadena de texto que su navegador mantiene en nombre del sitio, ya sea para un límite de tiempo establecido o hasta que cierre su navegador.
Cerrar sesión si es una preocupación. Obviamente, si alguien más usa la misma computadora poco después de que usted podría utilizar el sitio conectado como usted. Siempre cierre la sesión explícitamente en computadoras accesibles al público.
Dependiendo de si el servidor comprueba la dirección IP tratando de usar el token (probablemente una cookie, pero no tiene que ser) contra el que inició sesión, es posible que un ladrón use esa cookie para obtener acceso a su cuenta.
Un sitio bien diseñado no solo hará que las sesiones se agoten, sino que también las restringirá a una sola dirección IP (y al agente de usuario del navegador, etc.).
Incluso al verificar la propiedad intelectual, no es seguro contra el secuestro. Si tanto la víctima como el secuestrador se sientan detrás del mismo enrutador, entonces el servidor web los verá como procedentes de la misma máquina (ya que su IP pública sería la misma). Los ID del navegador tampoco son seguros ... pueden ser falsificados fácilmente. –
Definitivamente. Proteger contra los ataques de repetición en tiempo real es difícil. Se recomienda verificar la dirección IP, etc., pero no se debe confiar en estos ya que no son seguros. –
Como otros han señalado esta es la cookie en su máquina.
La forma de "piratear" sería obtener acceso a su máquina y luego tomar una copia de la cookie. O tome una copia de la cookie mientras se envía al navegador.
Para protegerse contra esto, usted podría:
Bloqueo de una sesión a una sola dirección IP, puede causar problemas, si los usuarios están viniendo de una red con 2 servidores proxy.
gracias a todos ustedes. No tuve ningún problema todavía. Solo me mantenía actualizado. –
que tendría que oler su tráfico y robó sus galletas. Luego, si él no cierra la sesión, (para que el servidor no invalide las cookies), puede iniciar sesión con ellos
Las sesiones normales no se piratean ... se secuestran (muy común con las cookies de WordPress - que ni siquiera tiene sesiones en el servidor). Las cookies son solo el almacenamiento de la sesión del lado del cliente. –
Son variables 'SESSION' consideradas seguras. Si alguien inicia sesión y almaceno en el alcance de la sesión su ID y el estado en que iniciaron sesión. ¿Usar esa ID para consultar los datos y devolverles los datos es seguro? Me lo imaginaba, pero no estoy seguro. ¿Debo almacenar su estado en un DB y solo usar eso como estado? Yo diría que SESSION es lo suficientemente segura. – Leeish