Memorizza i cookie degli utenti in un database su un server

Naviga le tue risposte
3

Desidero utilizzare Apple Push Notification Service, quindi ho bisogno di un server. Questo server dovrà controllare un sito ogni x minuti.

Come il sito che deve essere controllato richiede all'utente di accedere.
Quindi è giusto che la sicurezza sembri abilitare l'accesso a un browser web, quindi caricare i cookie che contengono le informazioni sulla sessione (non il nome utente o la password dell'utente) e memorizzarli in un database che è solo una tabella, con 2 campi, 'cookie' e 'deviceToken' in modo che i cookie siano associati al token del dispositivo.
Quindi esegui le richieste dal server al sito con i cookie dell'utente, per conto dell'utente, e se il sito è stato modificato invia una notifica all'utente.

Questo è un metodo sicuro e in che modo esattamente dovrei implementarlo in modo che nessun altro possa accedere al database e scaricare i cookie?

Anche se permetto agli utenti di abilitare o disabilitare le notifiche push (né opt-in né opt-out), questo è moralmente ok?

    
posta Jonathan. 07.03.2011 - 18:20
fonte

1 risposta

1

È sicuro?

Se la connessione del telefono e gt; server non è crittografata, allora quei cookie di sessione possono essere annusati. Se la tua connessione al sito web server > non è crittografata, allora quei cookie di sessione possono essere sniffati.

Se i cookie possono essere recuperati dal telefono, un utente malintenzionato potrebbe presentarsi come quel telefono inviando lo stesso token dispositivo e recuperare i cookie, quindi dirottare la sessione dell'utente.

E infine, se i cookie non sono crittografati nella tabella e qualcuno è in grado di rubare il contenuto di quella tabella, allora possono dirottare tutte le sessioni dei tuoi utenti in una sola volta!

È moralmente ok?

No a meno che tu non spieghi all'utente cosa stai facendo e quali sono i rischi.

Copiando i cookie di un utente e inviandoli a un sito web di destinazione, stai fingendo di essere quell'utente. Potresti (o chiunque altro sia stato in grado di rubare quei cookie) dirottare quella sessione dell'utente e fare cose nefande.

Dipende davvero da che cosa sia quel sito "target". Se si tratta di una banca, allora questa è decisamente una cattiva idea. Se è reddit.com, allora questo potrebbe essere ragionevole.

    
risposta data 09.03.2011 - 00:01
fonte

Leggi altre domande sui tag

Perché asn1parse non analizza tutte le stringhe di codifica DER? Migliori pratiche di sicurezza del database per il sito di e-commerce [duplicato]