zabezpieczenie tokenu sesji parse.com

Question

W ciągu ostatnich kilku miesięcy budowałem aplikację (ios i aplikację internetową) w programie Parse, a dopiero odkryłem, jak działają tokeny sesji. To, czego nauczyłem się do tej pory:

• Każdy użytkownik ma swój własny sesji tokena
• Token jest stosowany w celu zastąpienia poświadczenia użytkownika (uwierzytelnianie) podczas wykonywania żądania do serwera
• Token nigdy zmiany (nawet po zresetowaniu hasła) i nigdy nie wygasa
• Token jest przechowywany lokalnie po stronie klienta po zalogowaniu
• Użytkownik może być zalogowany przy użyciu metody Parse.User.become (sessiontoken, options), przy czym tylko token sesji

Wydaje mi się to bardzo niebezpieczne, czy też czegoś brakuje? Wydaje się, że jeśli ktoś dostanie ten token, ma on wieczny dostęp do konta użytkowników, nawet jeśli zmieniono nazwę użytkownika i/lub hasło?

Dzięki,

Mario

Answer 1

Wygląda na to, że właśnie zaktualizowały swoje systemy, aby używać odwołalnych sesji użytkowników. Nice One Parse!

http://blog.parse.com/2015/03/25/announcing-new-enhanced-sessions

Answer 2

Mam również dwukrotnie sprawdzane token sesji wróciłam z REST API & Android Client. To jest to samo. Nawet po zmianie hasła.

Jest to zdecydowanie potencjalne zagrożenie bezpieczeństwa. Każdy, kto jest urządzeniem mobilnym, zostaje skradziony, haker może uzyskać token sesji, jeśli sesja nie jest szyfrowana, a bezpieczeństwo danych użytkownika jest zagrożone na zawsze.

Jako że haker może używać tokenu sesji od dowolnego klienta na zawsze. Nigdy nie dowiesz się, kiedy haker zrobi zło. Jestem poważnie zaniepokojony tą kwestią. Mam nadzieję, że ktoś to rozwiąże.

PS: Cześć Mario, zgłosiłem problem na platformie programistów Facebooka.

https://developers.facebook.com/bugs/309490399239393/

nadzieję, że ktoś będzie go śledzić i rozwiązać go ostatecznie.