Respondendo a [Não disponível] dentro da publicação [Dúvida] A melhor forma de lidar com logins
0
Conteúdo excluído
1
Explica pra mim, cara
editei o comentário acima com um link da Mozilla explicando o que é um ataque XSS.
Mas basicamente você nunca deve confiar no browser da pessoa.
Essa pessoa pode usar extenções maliciosas que injetam scripts no navegador.
Se você não configurar certinho os headers do seu site esses script podem sim ler o LocalStorage, cookies que não estão marcados como HTTPOnly, qualquer input de formulários e qualquer informação presente na página.
leia este artigo para entender boas práticas de onde salvar cada coisa
e acho que você(s) estão equivocados
Entre você e na empresa que desenvolve um dos maiores navegadores eu vou confiar em quem?
Conteúdo excluído
4
Mas interceptar token não é relevante.
Interceptando um token tornaria um atacante acessando um site como se fosse seu usuário.
esse atacante poderia ver todas as informações disponíveis, fazer todas as modificações que esse usuário tem permissão de fazer.
Imagina esse nível de acesso em um sistema empresarial?
Por meio dessa interceptação de token tenho amigos que tiveram todos os seus vídeos do youtube apagados e um vídeo de tigrinho postado.
Imagina um canal com 2 milhões de seguidores ter todos os seus vídeos apagados ...
Como isso poder ser perigoso ?
Isso me diz muito como você leva a sério seu próprio trabalho
Eu aposto um pouquinho da minha reputação aqui cara.
A gente tá na internet, ninguem se importa com a sua reputação ...