Mas interceptar token não é relevante. Interceptando um token tornaria um ata... · Pilati

Respondendo a "Eu aposto um pouquinho da minha reputação aqui..." dentro da publicação [Dúvida] A melhor forma de lidar com logins

Pilati

1 mês atrás

Mas interceptar token não é relevante.

Interceptando um token tornaria um atacante acessando um site como se fosse seu usuário.

esse atacante poderia ver todas as informações disponíveis, fazer todas as modificações que esse usuário tem permissão de fazer.

Imagina esse nível de acesso em um sistema empresarial?

Por meio dessa interceptação de token tenho amigos que tiveram todos os seus vídeos do youtube apagados e um vídeo de tigrinho postado.

Imagina um canal com 2 milhões de seguidores ter todos os seus vídeos apagados ...

Como isso poder ser perigoso ?

Isso me diz muito como você leva a sério seu próprio trabalho

Eu aposto um pouquinho da minha reputação aqui cara.

A gente tá na internet, ninguem se importa com a sua reputação ...

RodrigoSchio

1 mês atrás

Sobre "se alguém interceptasse/setasse um token"
Realmente voce tem razão.
ME desculpe(m) pelos comentários.

Mas sobre como intercepetar/setar:
o user precisaria executar um js na sua página ou usar um browser acreditando que está no chrome
Acho que só dessas duas maneiras tem Jeito.

Eu me importo com minha reputação, com os rumos que a internet toma, com a comunidade...

Pilati

Autor

1 mês atrás

Acho que só dessas duas maneiras tem Jeito.

Ou usar uma extensão de navegador comprometida (ja falei duas vezes em outros comentários)

Extensões de navegador são extremamente inseguras.

Não controlamos as extensões que os usuários instalam, não devemos acreditar que eles tem capacidade técnica suficiente para identificar se uma extensão é maliciosa