Estoy aprendiendo sobre los protocolos de autenticación y tengo problemas para comprender cómo se puede evitar el secuestro de sesiones.
Aprendí que una contramedida es usar protocolos de autenticación, que unen una clave de sesión única a un proceso de autenticación mutua sólido.
Digamos que usamos algún tipo de protocolo de respuesta de desafío mutuo con AES e incluimos una clave de sesión fuerte y aleatoria. Realmente no entiendo cómo funciona el secuestro de sesión, pero supongo que de alguna manera se realiza mediante inyección de código. Por lo tanto, la clave de sesión, que se almacena en la memoria, probablemente no sea segura y se puede tomar también, ¿no?