Utilizzo Express js struttura web e passaporto js libreria per l'autenticazione. Tutto funziona bene ma ho un dubbio.
Per mantenere una sessione di accesso persistente, il passaporto js utilizza sessione cookie e salva due cookie nel browser dell'utente. Uno è session
e un altro è session.sig
. Ho anche il modulo di autorizzazione nella mia app che viene dopo aver superato l'autenticazione.
Il mio problema si verifica quando due utenti hanno effettuato l'accesso e entrambi hanno ruoli diversi (diritti e permessi). Se uno degli utenti copia il valore session
e session.sig
dal browser di un altro utente e incolla all'interno del cookie del proprio browser, è in grado di ottenere i dettagli e i diritti dell'account.
Quindi è una vulnerabilità o è una cosa generale?
Che cosa succede se qualcuno utilizza uno strumento proxy web come "Burp"?
Grazie.