В настоящее время я оцениваю риски безопасности для электронного приложения, над которым я работаю, в отношении того, можно ли скопировать файл или набор файлов, сохраненных на жестком диске пользователя, электронным способом и просто вставить их в другое установка на другом компьютере и, таким образом, автоматически войти в приложение, используя сеанс пользователя, который вошел в систему на первом компьютере. Мы используем токен аутентификации в нашем приложении.
Я заметил, что электрон хранит свой кэш в определенной папке, как упомянуто здесь Как очистить данные кэша в Electron (атомная оболочка)? .
Среди этих файлов я заметил файл 'Cookies', который выглядит как sqliteDB. Когда вы открываете это с помощью программы чтения sqlite db, вы можете просматривать данные cook ie в виде простого текста. Однако, похоже, что он не содержит аутентификационного сообщения ie текущего пользователя, вошедшего в систему.
Следовательно, некоторые из вопросов, на которые я надеюсь получить ответы:
- При входе пользователя в систему пользовательский токен хранится в куке ie. Хранится ли этот повар ie в определенном файле на жестком диске электронным способом, который можно скопировать на другой компьютер, чтобы подделать / захватить сеанс пользователя?
- Если ответ на вопрос 1 - да, есть ли способ чтобы предотвратить это?
Я не профессионал в области безопасности, поэтому прости меня, если я неправильно понял терминологию по безопасности.