Executando verificação de segurança...
Respondendo a "Explica pra mim, cara por favor essas questões..." dentro da publicação [Dúvida] A melhor forma de lidar com logins
1
Pilati

Explica pra mim, cara

editei o comentário acima com um link da Mozilla explicando o que é um ataque XSS.

Mas basicamente você nunca deve confiar no browser da pessoa.

Essa pessoa pode usar extenções maliciosas que injetam scripts no navegador.

Se você não configurar certinho os headers do seu site esses script podem sim ler o LocalStorage, cookies que não estão marcados como HTTPOnly, qualquer input de formulários e qualquer informação presente na página.

leia este artigo para entender boas práticas de onde salvar cada coisa

e acho que você(s) estão equivocados

Entre você e na empresa que desenvolve um dos maiores navegadores eu vou confiar em quem?

Carregando publicação patrocinada...
1
4
Pilati
  • Autor
    Autor

Mas interceptar token não é relevante.

Interceptando um token tornaria um atacante acessando um site como se fosse seu usuário.

esse atacante poderia ver todas as informações disponíveis, fazer todas as modificações que esse usuário tem permissão de fazer.

Imagina esse nível de acesso em um sistema empresarial?

Por meio dessa interceptação de token tenho amigos que tiveram todos os seus vídeos do youtube apagados e um vídeo de tigrinho postado.

Imagina um canal com 2 milhões de seguidores ter todos os seus vídeos apagados ...

Como isso poder ser perigoso ?

Isso me diz muito como você leva a sério seu próprio trabalho

Eu aposto um pouquinho da minha reputação aqui cara.

A gente tá na internet, ninguem se importa com a sua reputação ...

1
RodrigoSchio

Sobre "se alguém interceptasse/setasse um token"
Realmente voce tem razão.
ME desculpe(m) pelos comentários.

Mas sobre como intercepetar/setar:
o user precisaria executar um js na sua página ou usar um browser acreditando que está no chrome
Acho que só dessas duas maneiras tem Jeito.

Eu me importo com minha reputação, com os rumos que a internet toma, com a comunidade...

5
Pilati
  • Autor
    Autor

Acho que só dessas duas maneiras tem Jeito.

Ou usar uma extensão de navegador comprometida (ja falei duas vezes em outros comentários)

Extensões de navegador são extremamente inseguras.

Não controlamos as extensões que os usuários instalam, não devemos acreditar que eles tem capacidade técnica suficiente para identificar se uma extensão é maliciosa