an ninh mã thông báo lỗi phiên

Question

Tôi đã xây dựng một ứng dụng (ios và ứng dụng web) trên Parse trong vài tháng qua và chỉ mới phát hiện ra cách mã thông báo phiên làm việc của chúng. Đây là những gì tôi đã học được cho đến nay:

• Mỗi người dùng có phiên riêng của họ thẻ
• Các thẻ được sử dụng để thay thế các thông tin người dùng (để xác thực) khi thực hiện các yêu cầu đến máy chủ
• Các dấu hiệu bao giờ thay đổi (ngay cả khi đặt lại mật khẩu) và không bao giờ hết hạn
• Mã thông báo được lưu trữ cục bộ trên phía máy khách khi đăng nhập
• Người dùng có thể đăng nhập bằng phương pháp Parse.User.become (sessiontoken, options), chỉ với mã thông báo phiên

Điều này có vẻ rất không an toàn đối với tôi, hoặc tôi đang thiếu điều gì đó? Dường như nếu bất kỳ ai quản lý để nhận mã thông báo này, họ có quyền truy cập vĩnh viễn vào tài khoản người dùng, ngay cả khi tên người dùng và/hoặc mật khẩu được thay đổi?

Cảm ơn,

Mario

Answer 1

Có vẻ như họ vừa cập nhật hệ thống của họ để sử dụng các phiên người dùng có thể hủy bỏ. Đẹp một Parse!

http://blog.parse.com/2015/03/25/announcing-new-enhanced-sessions

Answer 2

Tôi cũng hai lần kiểm tra token phiên trở về từ REST API & Android Client. Nó là như nhau. Ngay cả sau khi tôi đã thay đổi mật khẩu.

Đây chắc chắn là một vấn đề bảo mật tiềm ẩn. Bất kỳ ai bị mất cắp thiết bị di động, tin tặc có thể nhận mã thông báo phiên nếu phiên không được mã hóa và bảo mật dữ liệu người dùng sẽ bị đe dọa vĩnh viễn.

Khi tin tặc có thể sử dụng mã thông báo phiên từ bất kỳ ứng dụng khách nào mãi mãi. Bạn sẽ không bao giờ biết khi nào thì hacker sẽ làm điều ác. Tôi nghiêm túc lo lắng về vấn đề này. Hy vọng ai đó sẽ giải quyết nó.

PS: Xin chào Mario, tôi đã đăng sự cố trên Nền tảng nhà phát triển Facebook.

https://developers.facebook.com/bugs/309490399239393/

Hy vọng ai đó sẽ theo dõi và giải quyết nó sau cùng.