Almacenar cookies de usuarios en una base de datos en un servidor

3

Quiero usar el servicio de notificaciones push de Apple, por lo que necesito un servidor. Este servidor tendrá que revisar un sitio cada x minutos.

La forma en que el sitio que se debe revisar requiere que el usuario inicie sesión. Entonces, ¿es correcto para la seguridad que el usuario inicie sesión en un navegador web, luego cargue las cookies que contienen la información de la sesión (no el nombre de usuario o la contraseña del usuario) y las almacene en una base de datos que es solo una tabla, con 2 campos? 'cookies' y 'deviceToken' para que las cookies estén asociadas con el token del dispositivo.
Luego, realice las solicitudes del servidor al sitio con las cookies del usuario, en nombre del usuario, y si el sitio ha cambiado, envíe una notificación al usuario.

¿Es este un método seguro y cómo lo implementaría exactamente para que nadie más pueda acceder a la base de datos y descargar las cookies?

También, siempre y cuando permita que los usuarios elijan habilitar o deshabilitar las notificaciones de inserción (sin opción de entrada o de exclusión), ¿es esto moralmente correcto?

    
pregunta Jonathan. 07.03.2011 - 18:20
fuente

1 respuesta

1

¿Es seguro?

Si la conexión del servidor > servidor no está encriptada, esas cookies de sesión pueden ser detectadas. Si la conexión de su sitio web con el servidor > no está encriptada, esas cookies de sesión pueden ser detectadas.

Si el teléfono puede recuperar las cookies, entonces un atacante podría hacerse pasar por ese teléfono enviando el mismo token del dispositivo y recuperar las cookies, luego secuestrar la sesión de ese usuario.

Y, finalmente, si las cookies no están cifradas en la tabla y alguien puede robar el contenido de esa tabla, ¡entonces pueden secuestrar todas las sesiones de sus usuarios a la vez!

¿Está moralmente bien?

No, a menos que le expliques al usuario lo que estás haciendo y cuáles son los riesgos.

Al copiar las cookies de un usuario y enviarlas a un sitio web de destino, se hace pasar por ese usuario. Usted podría (o cualquier otra persona que pudiera robar esas cookies) secuestrar la sesión de ese usuario y hacer cosas infames.

Realmente depende de lo que sea ese sitio web "objetivo". Si es un banco, entonces definitivamente es una mala idea. Si es reddit.com, entonces esto puede ser razonable.

    
respondido por el Mark E. Haase 09.03.2011 - 00:01
fuente

Lea otras preguntas en las etiquetas