A煤n no tienes acceso a esta clase

Crea una cuenta y contin煤a viendo este curso

Otras estrategias avanzadas de seguridad

10/13
Recursos

Aportes 3

Preguntas 0

Ordenar por:

驴Quieres ver m谩s aportes, preguntas y respuestas de la comunidad? Crea una cuenta o inicia sesi贸n.

Acabo de leerme el art铆culo completo de las dos cookies. Est谩 genial.

Peter Locke propone llevar a cabo la autenticaci贸n diviendo el JWT en dos cookies:

  • header.payload. Con atributo secure y duraci贸n de 30 minutos. Pueden leerse por el frontend.
  • signature. Con atributo secure y HttpOnly. No disponible para el frontend y que se pierde una vez se cierra el browser.

馃幇 Otras estrategias avanzadas de seguridad

Recursos

Getting Token Authentication Right in a Stateless Single Page Application

Session Management - OWASP Cheat Sheet Series

Apuntes

鈥淣unca uses localStorage para guardar secretos鈥

  • Es com煤n el fallo de guardar los JWT en los localStorage, esta es la peor forma de manipular la sesi贸n, ya que siempre se guardar谩 en el navegador

鈥淣unca desencriptar [tokens] en el cliente, usar siempre endpoints鈥

  • Si desencriptamos tokens en el cliente significa que debe guardar de alguna forma el secreto con el cual va a desencriptar dicha informaci贸n y en el cliente no hay forma de proteger de buena manera dicho secreto
  • Por este motivo, la desencriptaci贸n se tienen que hacer ante un endpoint
  • En caso de ser aplicaciones est谩ticas, no significa que no podamos utilizar servicios de terceros encargados de esa tarea
    • Oauth es un servicio que funciona muy bien en p谩ginas est谩ticas, ofreci茅ndonos endpoints con los cuales desde el cliente se pueden acceder a la sesi贸n del cliente sin necesidad de guardar secretos en nuestra aplicaci贸n

Guardar Tokens

  • Web worker
    • Los web workers son un tipo de capa que existen entre la aplicaci贸n y el servidor, se situan exactamente en el medio.
    • El JS no tiene acceso al mismo
    • Interceptando los request, agregan el token guardado y mandarlo al servidor
    • En caso de que el servidor responda con datos sensibles, el web worker puede quitar la informaci贸n sensible y mandarlo al JavaScript
    • No tiene soporte en algunos navegadores como Internet Explorer
    • Al ser utilizado dentro JavaScript puede estar expuesto a vulnerabilidades XSS 鈬 Por lo cual se deben usar cookies CSRF para mitigar dichos riesgos
  • Combinaci贸n de diferentes estrategias
  • Estrategia de dos cookies

Estrategia 2 cookies