Qualsiasi motivo per inviare un utente a una sessione salt?

3

Sono uno stagista estivo diventato dipendente a tempo pieno. Per farla breve, lo sviluppatore principale del progetto che ho internato alla chiusura, e dato che sono l'unica altra persona che conosce il progetto, mi è stata assunta a tempo pieno per mantenerla.

Ad ogni modo, mentre spuntavo il programma, ho scoperto che - caricando uno specifico strumento di amministrazione - il server invia al client un pacchetto JSON contenente:

La mia domanda: Quale possibile motivo potrebbe esserci per inviare al client una sessione salt?

Il mio background di sicurezza sta guardando alcuni talk di Defcon per ammazzare il tempo, quindi non sono un professionista, ma da quello che so sali e hash sono qualcosa che dovresti proteggere con la tua vita. So anche che tutto ciò che viene inviato su una rete è fondamentalmente non protetto. Inoltre, l'unico posto in cui questo sale viene usato clientide è un campo di testo su quello strumento di amministrazione che mostra semplicemente il sale.

Quindi che motivo c'è perché questo sia inviato all'utente? Dovrei modificare il server in modo che non invii il sale?

    
posta UIDAlexD 20.01.2017 - 16:58
fonte

1 risposta

3

Se si implementa la gestione personalizzata delle sessioni, salt ovviamente non dovrebbe essere passato al client, dovrebbe essere memorizzato in un file di configurazione o in un database. È necessario trasferire solo il token di sessione tra il client e il server.

Innanzitutto suggerirei di cercare gli usi di SESSION_SALT . Se non viene utilizzato, rimuoverlo poiché stai semplicemente perdendo informazioni sensibili qui. Se trovi qualcosa, possiamo dare un'occhiata più da vicino a cosa è destinato a fare. Il mio primo pensiero è che il programmatore ha usato solo una terminologia sbagliata e in realtà è un token di sessione.

    
risposta data 20.01.2017 - 17:12
fonte

Leggi altre domande sui tag