¿Cómo puede ser seguro almacenar un Id. de usuario como sesiones del lado del cliente?

3

La documentación para el manejo de sesiones en ninjaFramework indica:

  

[...] Ninja utiliza las llamadas sesiones del lado del cliente. La cookie en sí almacena la información que desea adjuntar a esa sesión.   [...]   Las sesiones de ninja no están encriptadas por defecto. Por lo tanto, no debe almacenar ninguna información crítica. El almacenamiento de una identificación de usuario o nombre de usuario está bien

¿Qué hace que almacenar el ID de usuario sea "correcto"? La forma en que entendí estas sesiones del lado del cliente es básicamente una cookie con atributos en texto limpio.

¿Qué impide que un atacante solo cambie su ID de usuario en la sesión y, por lo tanto, se convierta en otro usuario (sin iniciar sesión) en el servidor?

    
pregunta Nijin22 02.09.2015 - 13:42
fuente

1 respuesta

3

Aunque no están encriptadas, las sesiones de Ninja están firmadas :

  

Una sesión de Ninja es un hash de clave / valores, firmado pero no cifrado de forma predeterminada (consulte la siguiente sección para habilitar el cifrado). Eso significa que mientras su secreto esté a salvo, no es posible que un tercero forje sesiones.

Así se asegura la integridad para las sesiones. La advertencia que citó se refiere a la confidencialidad.

    
respondido por el Neil Smithline 02.09.2015 - 15:46
fuente

Lea otras preguntas en las etiquetas