sicurezza token di sessione parse.com

Question

Ho sviluppato un'app (ios e web app) su Parse negli ultimi mesi e ho appena scoperto come funzionano i token di sessione. Questo è quello che ho imparato finora:

• Ogni utente ha la propria sessione di token
• Il token viene utilizzato per sostituire le credenziali dell'utente (per l'autenticazione) quando si effettua la richiesta al server
• Il token mai modifiche (anche quando la password viene ripristinata) e non scade mai
• Il token viene memorizzato localmente sul lato client quando si effettua l'accesso
• L'utente può accedere con il metodo Parse.User.become (sessiontoken, opzioni), con solo il gettone di sessione

Mi sembra molto insicuro o mi manca qualcosa? Sembra che se qualcuno riesce a ottenere questo token ha accesso eterno all'account degli utenti, anche se il nome utente e/o la password sono cambiati?

Grazie,

Mario

Answer 1

Sembra che abbiano appena aggiornato i propri sistemi per utilizzare sessioni utente revocabili. Bello Parse!

http://blog.parse.com/2015/03/25/announcing-new-enhanced-sessions

Answer 2

Inoltre ho ricontrollato il token di sessione tornato da REST API & Android client. È lo stesso. Anche dopo aver cambiato la password.

Questo è sicuramente un potenziale problema di sicurezza. Chiunque sia rubato a un dispositivo mobile, l'hacker potrebbe ottenere il token di sessione se la sessione non è crittografata e la sicurezza dei dati dell'utente è in pericolo per sempre.

Come l'hacker potrebbe utilizzare il token di sessione da qualsiasi client per sempre. Non saprai mai quando l'hacker farà il male. Sono seriamente preoccupato per il problema. Spero che qualcuno lo affronterà.

PS: Ciao Mario, ho registrato un problema sulla piattaforma di sviluppo di Facebook.

https://developers.facebook.com/bugs/309490399239393/

speranza che qualcuno traccerà e risolverlo alla fine.