A seguran\u00e7a na web \u00e9 uma preocupa\u00e7\u00e3o crescente, e a maneira como lidamos com a autentica\u00e7\u00e3o e o armazenamento de dados no navegador desempenha um papel fundamental na prote\u00e7\u00e3o de informa\u00e7\u00f5es sens\u00edveis.<\/p>\n\n\n\n
Neste post, exploraremos conceitos importantes como autentica\u00e7\u00e3o, cookies HTTP, JSON Web Tokens (JWT), LocalStorage e SessionStorage. Al\u00e9m disso, discutiremos as vulnerabilidades associadas a alguns desses m\u00e9todos e como mitig\u00e1-las.<\/p>\n\n\n\n
<\/p>\n\n\n\n
Os cookies de navegador s\u00e3o informa\u00e7\u00f5es de texto enviadas pelo servidor de uma aplica\u00e7\u00e3o web e armazenadas no navegador do usu\u00e1rio. Eles s\u00e3o frequentemente usados para gerar tokens de acesso \u00fanicos quando o usu\u00e1rio faz login, permitindo a autentica\u00e7\u00e3o e a identifica\u00e7\u00e3o de sess\u00f5es.<\/p>\n\n\n\n
Os cookies podem conter informa\u00e7\u00f5es sens\u00edveis, como detalhes de sess\u00e3o, e devemos ter cuidado com seu armazenamento, pois diferentes navegadores os armazenam de maneira diferente. Eles podem ser armazenados em bancos de dados embutidos ou em arquivos de texto criptografados pelo sistema operacional.<\/p>\n\n\n\n
Para visualizar os cookies de uma aplica\u00e7\u00e3o que estamos acessando, podemos utilizar as ferramentas de desenvolvedor. Para acess\u00e1-las, voc\u00ea pode pressionar a tecla F12 ou clicar em “inspect” (inspecionar) no seu navegador. Em seguida, selecione a aba “Aplicativo” ou “Application”, onde encontrar\u00e1 uma se\u00e7\u00e3o dedicada aos cookies. Esses cookies s\u00e3o organizados por dom\u00ednio, refletindo a origem da aplica\u00e7\u00e3o em que voc\u00ea est\u00e1 navegando.<\/p>\n\n\n\n
\u00c9 importante notar que, ao navegar em um site, sua aplica\u00e7\u00e3o pode hospedar esses cookies no dom\u00ednio X, e esses cookies podem ser usados para identificar e rastrear sua sess\u00e3o no site. Isso ocorre por meio de chamadas para um servidor que configura relat\u00f3rios de acesso ao site no c\u00f3digo da aplica\u00e7\u00e3o.<\/p>\n\n\n\n
Dessa forma, as ferramentas de desenvolvedor permitem que voc\u00ea acompanhe e entenda como os cookies s\u00e3o usados para gerenciar sess\u00f5es e fornecer funcionalidades espec\u00edficas em sites, oferecendo uma vis\u00e3o valiosa da intera\u00e7\u00e3o entre o navegador e a aplica\u00e7\u00e3o web.<\/p>\n\n\n\n
Os cookies possuem alguns par\u00e2metros, aqui est\u00e3o alguns deles:<\/p>\n\n\n\n
Expires<\/strong>: Define a data e a hora de expira\u00e7\u00e3o do cookie. Se esse par\u00e2metro n\u00e3o for definido, ser\u00e1 configurado por default como um cookie de sess\u00e3o, expirando quando o navegador for fechado.<\/p>\n\n\n\n Max-Age<\/strong>: Similar ao Expires, ele tamb\u00e9m define quando um cookie vai expirar, mas em segundos.<\/p>\n\n\n\n Domain<\/strong>: Define para qual host o cookie ser\u00e1 enviado pelo navegador. Se esse par\u00e2metro n\u00e3o for definido, o cookie ser\u00e1 enviado somente para o host da URL atual, ser\u00e1 enviado nas requisi\u00e7\u00f5es para example.com e todos os seus sub-dom\u00ednios.<\/p>\n\n\n\n Path<\/strong>: Indica qual o caminho deve existir na URL para que o cookie seja enviado pelo navegador. Se o valor for \/docs, o cookie ser\u00e1 enviado para URLs como \/docs, \/docs\/, \/docs\/web, mas n\u00e3o ser\u00e1 enviado para URLs como \/, \/documentos, \/pt-br\/docs.<\/p>\n\n\n\n Secure<\/strong>: Se esse par\u00e2metro for definido, o cookie s\u00f3 ser\u00e1 enviado em requisi\u00e7\u00f5es HTTPS.<\/p>\n\n\n\n HttpOnly<\/strong>: Pro\u00edbe o acesso ao cookie em quest\u00e3o atrav\u00e9s do JavaScript com document.cookie. Eles s\u00e3o enviados s\u00f3 para o servidor, ex: cookies que persistem sess\u00f5es de servidor n\u00e3o precisam estar dispon\u00edveis para o JavaScript, e portanto a diretiva HttpOnly deve ser configurada.<\/p>\n\n\n\n SameSite<\/strong>: Com os poss\u00edveis valores sendo Strict, Lax e None, controla se o cookie pode ser enviado em requisi\u00e7\u00f5es feitas a partir de outros sites para o dom\u00ednio do cookie.<\/p>\n\n\n\n Strict<\/strong>: Apenas cookies para o endere\u00e7o da URL que est\u00e1 sendo acessada s\u00e3o enviados. Faz com que a requisi\u00e7\u00e3o inicial para uma aplica\u00e7\u00e3o n\u00e3o contenha os cookies com este par\u00e2metro, j\u00e1 que est\u00e3o vindo de outro dom\u00ednio.<\/p>\n\n\n\n Lax (op\u00e7\u00e3o padr\u00e3o)<\/strong>: Semelhante ao Strict, mas permite o envio dos cookies na requisi\u00e7\u00e3o inicial. Isso permite que, por exemplo, o usu\u00e1rio mantenha a sess\u00e3o ativa ao chegar no sistema atrav\u00e9s de um link externo.<\/p>\n\n\n\n None<\/strong>: Significa que os cookies ser\u00e3o enviados mesmo se a requisi\u00e7\u00e3o estiver vindo de outro endere\u00e7o. Para usar este m\u00e9todo, as vers\u00f5es mais recentes dos navegadores exigem que o par\u00e2metro secure seja definido.<\/p>\n\n\n\n JWT<\/strong>: Estrat\u00e9gia de autentica\u00e7\u00e3o para APIs em REST simples e segura. Trata-se de um padr\u00e3o aberto para autentica\u00e7\u00e3o web, e \u00e9 totalmente baseada em requisi\u00e7\u00f5es JSON entre o cliente e o servidor. O cliente faz uma solicita\u00e7\u00e3o uma \u00fanica vez ao enviar as credenciais de login e senha. O servidor valida as credenciais e, se tudo estiver certo, ele retorna para o cliente um JSON com um token que codifica dados de um usu\u00e1rio logado no sistema, e ap\u00f3s receber o token, o cliente pode armazen\u00e1-lo da forma que preferir, seja por LocalStorage, SessionStorage, Cookies e HttpOnly.<\/p>\n\n\n\n LocalStorage<\/strong>: Usam o localStorage para armazenar vari\u00e1veis tempor\u00e1rias. As altera\u00e7\u00f5es s\u00f3 est\u00e3o dispon\u00edveis por janela (ou em navegadores como o Chrome e o Firefox). As altera\u00e7\u00f5es feitas s\u00e3o salvas e disponibilizadas para a p\u00e1gina atual, bem como futuras visitas ao site na mesma janela, depois que a janela \u00e9 fechada, o armazenamento \u00e9 exclu\u00eddo. Os dados est\u00e3o dispon\u00edveis somente dentro da janela \/ guia na qual foram definidos, e os dados n\u00e3o persistentes ser\u00e3o perdidos quando a janela \/ guia for fechada. Como o localStorage funciona na pol\u00edtica de mesma origem, portanto os dados armazenados s\u00f3 estar\u00e3o dispon\u00edveis na mesma origem.<\/p>\n\n\n\n SessionStorage<\/strong>: \u00c9 similar ao localStorage, a \u00fanica diferen\u00e7a \u00e9 que enquanto os dados armazenados no localStorage n\u00e3o expiram, os dados na sessionStorage t\u00eam seus dados limpos ao expirar a sess\u00e3o da p\u00e1gina. A sess\u00e3o da p\u00e1gina dura enquanto o navegador est\u00e1 aberto e se mant\u00e9m no recarregamento da p\u00e1gina. Funciona na pol\u00edtica de mesma origem, portanto os dados armazenados s\u00f3 estar\u00e3o dispon\u00edveis na mesma origem. Por fim, os dados n\u00e3o ser\u00e3o enviados de volta ao servidor para cada solicita\u00e7\u00e3o HTTP (HTML, imagens, JavaScript, CSS, etc.), reduzindo a quantidade de tr\u00e1fego entre o cliente e o servidor.<\/p>\n\n\n\n Ambos os m\u00e9todos s\u00e3o vulner\u00e1veis a ataques, incluindo Armazenamento Local XSS, Cookies CSRF e Vulnerabilidades XSS e CSRF. Como mitigar esses riscos:<\/p>\n\n\n\n <\/p>\n\n\n\n Se o armazenamento local pode ser explorado por scripts de terceiros (como aqueles encontrados nas extens\u00f5es de navegadores) e se a autentica\u00e7\u00e3o pode ser falsificada com cookies, onde \u00e9 aceit\u00e1vel colocar o estado do cliente?<\/p>\n\n\n\n Criptografia de Dados:<\/strong> Criptografe os dados sens\u00edveis antes de armazen\u00e1-los no localStorage ou sessionStorage e descriptografe-os apenas quando necess\u00e1rio. Voc\u00ea pode usar bibliotecas de criptografia confi\u00e1veis para fazer isso.<\/p>\n\n\n\n Valida\u00e7\u00e3o de Entrada:<\/strong> Sempre valide e sanitize (limpe) os dados antes de armazen\u00e1-los. Isso ajuda a evitar a inje\u00e7\u00e3o de c\u00f3digo malicioso ou dados corrompidos.<\/p>\n\n\n\n L\u00f3gica de Expira\u00e7\u00e3o:<\/strong> Implemente uma l\u00f3gica de expira\u00e7\u00e3o para os dados armazenados, especialmente no localStorage. Defina prazos de validade para os dados e remova-os automaticamente quando expirarem.<\/p>\n\n\n\n M\u00ednimo Necess\u00e1rio:<\/strong> Armazene apenas as informa\u00e7\u00f5es estritamente necess\u00e1rias. N\u00e3o armazene dados sens\u00edveis ou confidenciais no localStorage ou sessionStorage, a menos que seja absolutamente necess\u00e1rio.<\/p>\n\n\n\n Utilize Cookies Seguros:<\/strong> Se voc\u00ea precisa de funcionalidades de autentica\u00e7\u00e3o, considere o uso de cookies seguros (HTTPS) e HttpOnly. Isso ajuda a proteger os cookies contra acesso n\u00e3o autorizado por meio de scripts do lado do cliente.<\/p>\n\n\n\n Implemente um Modelo de Amea\u00e7a:<\/strong> Considere todas as poss\u00edveis amea\u00e7as \u00e0 seguran\u00e7a ao projetar seu sistema e aplique medidas de seguran\u00e7a apropriadas. Isso pode incluir a restri\u00e7\u00e3o de acesso a certos dados, dependendo do contexto e do usu\u00e1rio.<\/p>\n\n\n\n Gerenciamento de Tokens:<\/strong> Se estiver usando tokens de autentica\u00e7\u00e3o, como tokens JWT (JSON Web Tokens), siga as melhores pr\u00e1ticas de seguran\u00e7a para gerenci\u00e1-los. Isso inclui proteger os segredos do servidor e definir expira\u00e7\u00f5es apropriadas para os tokens.<\/p>\n\n\n\n Controle de Acesso:<\/strong> Implemente controle de acesso adequado em seu aplicativo para garantir que apenas usu\u00e1rios autorizados tenham acesso aos dados armazenados no localStorage ou sessionStorage.<\/p>\n\n\n\n Monitoramento e Auditoria:<\/strong> Implemente registros e auditoria para rastrear quem acessa e modifica os dados armazenados. Isso pode ajudar na detec\u00e7\u00e3o de atividades suspeitas.<\/p>\n\n\n\n Considerar Alternativas:<\/strong> Em alguns casos, pode ser mais seguro armazenar dados sens\u00edveis no lado do servidor e apenas manter refer\u00eancias ou tokens no lado do cliente, reduzindo assim a exposi\u00e7\u00e3o de informa\u00e7\u00f5es confidenciais.<\/p>\n\n\n\n <\/p>\n\n\n\n A seguran\u00e7a da web \u00e9 essencial, especialmente quando se trata de autentica\u00e7\u00e3o e armazenamento de dados no navegador. Compreender os conceitos de cookies HTTP, JWT, LocalStorage e SessionStorage \u00e9 crucial para proteger informa\u00e7\u00f5es sens\u00edveis e garantir a integridade de suas aplica\u00e7\u00f5es web. Ao adotar pr\u00e1ticas seguras e estar ciente das vulnerabilidades, voc\u00ea pode fortalecer a seguran\u00e7a de seus sistemas e proteger seus dados.<\/p>\n\n\n\n Esperamos que este post tenha sido informativo e \u00fatil para voc\u00ea. Se tiver alguma d\u00favida ou coment\u00e1rio, n\u00e3o hesite em compartilh\u00e1-los conosco.<\/p>\n","protected":false},"excerpt":{"rendered":" A seguran\u00e7a na web \u00e9 uma preocupa\u00e7\u00e3o crescente, e a maneira como lidamos com a autentica\u00e7\u00e3o e o armazenamento de dados no navegador desempenha um papel fundamental na prote\u00e7\u00e3o de informa\u00e7\u00f5es sens\u00edveis. Neste post, exploraremos conceitos importantes como autentica\u00e7\u00e3o, cookies HTTP, JSON Web Tokens (JWT), LocalStorage e SessionStorage. Al\u00e9m disso, discutiremos as vulnerabilidades associadas a […]<\/p>\n","protected":false},"author":11,"featured_media":2252,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[4],"tags":[382,381,383,384],"yoast_head":"\nQuais s\u00e3o as vulnerabilidades dos m\u00e9todos LocalStorage e SessionStorage?<\/h3>\n\n\n\n
Como mitigar esses riscos?<\/h2>\n\n\n\n
Conclus\u00e3o<\/h2>\n\n\n\n