Session-Token-Sicherheit parse.com

Question

Ich habe in den letzten Monaten eine Anwendung (iOS und Web-App) auf Parse erstellt und habe gerade erst entdeckt, wie ihre Sitzungstoken funktionieren. Dies ist, was ich bisher gelernt haben:

• Jeder Benutzer hat seine eigene Session-Token
• Das Token wird verwendet, um die Benutzerdaten (für die Authentifizierung) zu ersetzen, wenn Anfragen an den Server
• Das Token macht nie Änderungen (selbst wenn das Passwort zurückgesetzt wird) und nie abläuft
• Das Token wird lokal auf der Clientseite gespeichert, wenn es eingeloggt ist
• Benutzer kann mit der Methode Parse.User.become (sessiontoken, options) angemeldet werden, nur mit Sitzungstoken

Das scheint mir sehr unsicher, oder fehlt mir etwas? Es scheint, dass, wenn jemand dieses Token bekommt, sie ewigen Zugriff auf das Benutzerkonto haben, selbst wenn Benutzername und/oder Passwort geändert werden?

Danke,

Mario

Answer 1

Sieht so aus, als ob sie ihre Systeme so aktualisiert haben, dass sie widerrufbare Benutzersitzungen verwenden. Netter Parse!

http://blog.parse.com/2015/03/25/announcing-new-enhanced-sessions

Answer 2

Ich habe überprüft auch die doppelte Session-Token von REST API & Android-Client zurückgegeben. Es ist das Gleiche. Auch nachdem ich das Passwort geändert habe.

Dies ist definitiv ein potenzielles Sicherheitsproblem. Jeder, der ein mobiles Gerät hat, wird gestohlen, der Hacker könnte das Sitzungstoken erhalten, wenn die Sitzung nicht verschlüsselt ist und die Sicherheit der Benutzerdaten für immer gefährdet ist.

Da der Hacker das Sitzungstoken von jedem Client für immer verwenden konnte. Du wirst nie wissen, wann der Hacker das Böse tun wird. Ich bin ernsthaft besorgt über das Problem. Hoffe jemand wird es ansprechen.

PS: Hallo Mario, ich habe ein Problem auf der Facebook Developer Platform protokolliert.

https://developers.facebook.com/bugs/309490399239393/

Hoffnung jemand wird es es schließlich verfolgen und lösen.