Sto guardando un'applicazione web che fa qualcosa che trovo molto insolito nella gestione delle sessioni di accesso.
L'applicazione esegue l'hashing della password con SHA256 e sale e la salva nella memoria di sessione o nella memoria locale nel browser (a seconda che l'utente desideri rimanere connesso in modo permanente). Utilizza anche un hashing corretto per le password sul lato server (PBKDF2) e l'applicazione viene servita tramite HTTPS.
Questo approccio sembra più pericoloso dell'archiviazione di un valore casuale per l'identificazione di una sessione utente, ma ho qualche problema a pensare ai modi per attaccare ciò che in realtà rappresenta un serio pericolo. Esiste il potenziale che qualcuno che accede a questo valore possa forzare la password, ma un utente malintenzionato che arriva a quel punto può già causare seri danni e probabilmente ottenere la password anche in altri modi. Per convincere le persone a cambiare questo probabilmente ho bisogno di argomenti migliori di questo.
Quali svantaggi specifici ha questo approccio rispetto ai tipici approcci per lo storage di sessione?