Ho letto questo articolo link
Intendo implementare il meccanismo di rilevamento dei furti di cookie che Barry Jaspan ha ideato in esso.
ma mi sembrava un problema.
Ho inviato una lettera a Jaspan alcuni giorni fa, ma non ha ancora risposto.
il problema è:
-
un utente può aprire diverse (almeno 2) schede nel suo browser.
-
il browser invia 2 richieste con il cookie "login_tok-dynamic_tok" all'applicazione (il nostro sistema di login). login_tok è il token che non cambierà per l'intera durata del login persistente. dynamic_tok è il token che cambia ad ogni richiesta.
-
la prima richiesta eseguita dal server fa sì che dynamic_tok cambi nel database.
-
ora viene elaborata la seconda richiesta e poiché il vecchio dynamic_tok non corrisponde a quello nel database, verrà generato un falso positivo.