Estoy utilizando Express js web framework y Passport js biblioteca para la autenticación. Todo funciona bien pero tengo una duda.
Para mantener una sesión de inicio de sesión persistente, el pasaporte js utiliza sesión de cookies y guarda dos cookies en el navegador del usuario. Uno es session
y otro es session.sig
. También tengo un módulo de autorización en mi aplicación que viene después de pasar la autenticación.
Mi problema es cuando dos usuarios inician sesión y ambos tienen roles diferentes (derechos y permisos). Si uno de los usuarios está copiando el valor session
y session.sig
del navegador de otro usuario y está pegando dentro de la cookie de su propio navegador, entonces puede obtener los detalles y derechos de su cuenta.
¿Entonces es una vulnerabilidad o es una cosa general?
¿Qué pasa si alguien usa una herramienta de proxy web como "Burp"?
Gracias.