No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Convierte tus certificados en títulos universitarios en USA

Antes: $249

Currency
$209

Paga en 4 cuotas sin intereses

Paga en 4 cuotas sin intereses
Suscríbete

Termina en:

19 Días
11 Hrs
27 Min
5 Seg

Otras estrategias avanzadas de seguridad

10/13
Recursos

Aportes 4

Preguntas 0

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Acabo de leerme el artículo completo de las dos cookies. Está genial.

Peter Locke propone llevar a cabo la autenticación diviendo el JWT en dos cookies:

  • header.payload. Con atributo secure y duración de 30 minutos. Pueden leerse por el frontend.
  • signature. Con atributo secure y HttpOnly. No disponible para el frontend y que se pierde una vez se cierra el browser.

🎰 Otras estrategias avanzadas de seguridad

Recursos

Getting Token Authentication Right in a Stateless Single Page Application

Session Management - OWASP Cheat Sheet Series

Apuntes

“Nunca uses localStorage para guardar secretos”

  • Es común el fallo de guardar los JWT en los localStorage, esta es la peor forma de manipular la sesión, ya que siempre se guardará en el navegador

“Nunca desencriptar [tokens] en el cliente, usar siempre endpoints”

  • Si desencriptamos tokens en el cliente significa que debe guardar de alguna forma el secreto con el cual va a desencriptar dicha información y en el cliente no hay forma de proteger de buena manera dicho secreto
  • Por este motivo, la desencriptación se tienen que hacer ante un endpoint
  • En caso de ser aplicaciones estáticas, no significa que no podamos utilizar servicios de terceros encargados de esa tarea
    • Oauth es un servicio que funciona muy bien en páginas estáticas, ofreciéndonos endpoints con los cuales desde el cliente se pueden acceder a la sesión del cliente sin necesidad de guardar secretos en nuestra aplicación

Guardar Tokens

  • Web worker
    • Los web workers son un tipo de capa que existen entre la aplicación y el servidor, se situan exactamente en el medio.
    • El JS no tiene acceso al mismo
    • Interceptando los request, agregan el token guardado y mandarlo al servidor
    • En caso de que el servidor responda con datos sensibles, el web worker puede quitar la información sensible y mandarlo al JavaScript
    • No tiene soporte en algunos navegadores como Internet Explorer
    • Al ser utilizado dentro JavaScript puede estar expuesto a vulnerabilidades XSS ⇒ Por lo cual se deben usar cookies CSRF para mitigar dichos riesgos
  • Combinación de diferentes estrategias
  • Estrategia de dos cookies
Excelente aporte!

Estrategia 2 cookies