¿Alguna razón para enviar a un usuario un salto de sesión?

3

Soy un pasante de verano empleado a tiempo completo. Para resumir, el principal desarrollador del proyecto en el que me interné fue y, dado que soy la única persona que conoce el proyecto, me contrataron a tiempo completo para mantenerlo.

De todos modos, mientras hurgaba en el programa, encontré que, al cargar una herramienta de administración específica, el servidor envía al cliente un paquete JSON que contiene:

Mi pregunta: ¿Cuál es la razón posible para enviar al cliente una sesión de sal?

Mi historial de seguridad es ver algunas conversaciones de Defcon para matar el tiempo, así que no soy un profesional, pero por lo que sé, sales y hashes son algo que se supone que debes proteger con tu vida. También sé que todo lo que se envía a través de una red no tiene garantía fundamental. Además, el único lugar donde se usa esta sal en el lado del cliente es un campo de texto en esa herramienta de administración que simplemente muestra la sal.

Entonces, ¿por qué motivo se envía esto al usuario? ¿Debo editar el servidor para que no envíe el salt?

    
pregunta UIDAlexD 20.01.2017 - 16:58
fuente

1 respuesta

3

Si se implementa el manejo de sesiones personalizado, obviamente, el sal no se debe pasar al cliente, se debe almacenar en un archivo de configuración o en una base de datos. Solo el token de sesión debe transferirse entre el cliente y el servidor.

En primer lugar, sugeriría buscar usos de SESSION_SALT . Si no se usa, elimínelo ya que solo está filtrando información confidencial aquí. Si encuentra algo, podemos ver más de cerca lo que está destinado a hacer. Lo primero que pensé fue que el programador simplemente usó una terminología incorrecta aquí y en realidad es un token de sesión.

    
respondido por el Rápli András 20.01.2017 - 17:12
fuente

Lea otras preguntas en las etiquetas